信息安全技术信息系统安全管理平台产品技术要求和测试评价方法

佚名 · 0905

方法，管理，技术

文件大小215.17 KB

文件格式docx

分享时间2024-12-24

更多此类文档

立即下载

还剩75页未读，继续阅读

本资源只提供10页预览，全部文档请下载后查看！喜欢就下载吧，查找使用更方便

立即下载

文本内容:

ICS

35.040GB/TL80OB中华人民共和IXXXXX—XXXX家标准信息安全技术信息系统安全管理平台产品技术要求和测试评价方法Information securitytechnology一Technical requirementstesting andevaluation approachesforinformation systemsecurity managementplatform products点击此处添加与国际标准一致性程度的标识送审稿（本稿完成日期2012-03-20）发布实施XXXX-XX-XX XXXX-XX-XX中华人民共和国国家质量监督检验检疫总局国家标准化管理委员会信息安全技术信息系统安全管理平台产品技术要求和测试评价方法1范围本标准规定了安全管理平台产品技术要求和测评方法本标准适用于安全管理平台产品的开发、测评和应用2规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款凡是注日期的引用文件，其随后所有的修改单（不包含勘误的内容）或者修订版均不适合于本标准，但鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件，其最新版本适用于本标准GB17859-1999计算机信息系统安全保护等级划分准则GB/T20984-2007信息安全技术信息安全风险评估规范GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求3术语和定义

3.1安全管理平台secur ity managementp Iatform信息系统安全管理平台是根据信息系统安全策略，对信息系统的计算环境、区域边界和通信网络上的安全机制实施统一管理的平台它通过获取及设置安全部件的安全规则配置，收集安全机制执行后产生的审计记录，归纳形成能够分析用户行为和系统运行状态的安全信息，从而发现安全事件，并能通过安全机制进行响应和处置，为信息系统安全管理体系的实施、检查和改进过程提供支持

3.2安全策略secur itypol icy为了保护信息系统，依据安全需求采取的保障信息的保密性、完整性和可用性的安全规则的集合

3.3安全机制secur ity mechani sm信息系统计算环境、区域边界、通信网络实施安全策略，完成安全功能的措施例如身份鉴别、访问控制、加密存储、加密通信、恶意代码防范、用户行为审计、系统审计等

3.4安全部件secur ity component执行安全机制的相对独立的硬件或软件例如身份认证系统、防火墙、网闸、入侵检测系统、漏洞扫描系统、通信加密机、防病毒系统、网络审计系统等

3.5安全规则配置secur ityrule configuration安全机制执行的具体技术细则，一般表现为安全部件中的参数或指令代码即安全机制所包含的用于实现信息系统保密性、可用性、完整性的安全功能规则和参数，以及自身安全的配置参数

3.6安全信息secur ity informat ion安全机制执行后产生的审计记录中提取的能够反映信息系统用户行为及系统运行状态是否符合安全策略的信息例如安全规则配置的变动记录、防火墙日志记录、防恶意代码系统的日志记录、入侵检测系统的攻击日志记录等

3.7事件event安全信息反映的一种系统、服务或网络状态的发生或者改变，可作为分析安全事件的基础信息

3.8安全事件secur ity event通过对事件的分析处理，从而识别出一种系统、服务或网络状态的发生，表明一次可能的违反安全规则或某些防护措施失效，或者一种可能与安全相关但以前不为人知的一种情况，极有可能危害业务运行和威胁信息安全

3.9计算环境comput ing envi ronment对信息系统的信息进行存储、处理及实施安全策略的相关部件包括硬件和软件，例如计算机及其组件、操作系统及其组件、应用系统及其组件等

3.10区域边界area boundary对信息系统的计算环境边界，以及计算环境与通信网络之间实现连接并实施安全策略的相关部件

3.11通信网络communication network对信息系统计算环境之间进行信息传输及实施安全策略的相关部件

3.12平台代理agent安全管理平台的组成部件一般部署在计算环境、区域边界、通信网络中，用于采集并处理安全信/息、O

3.13资产asset是构成信息系统的软件、硬件、数据等资源的集合，是安全机制保护的对象

3.14安全域secur ity zone信息系统中人为划分的资产集合一般具有相同或相近安全需求，执行相同或相近安全策略，采取相同或相近的安全措施

3.15缩略语CPUCentral ProcessingUnit中央处理器SNMPSimple NetworkManagement Protocol简单网络管理协议SNMP TrapSNMP自陷安全管理平台在信息系统安全策略的指导下，集中管理计算环境、区域边界、通信网络的安全机制信息系统的安全机制主要包括鉴别机制、检测机制、控制机制、保护机制、保障机制，详见附录B1安全管理平台搜集并归纳安全信息，按照安全策略对信息系统用户行为是否违规进行判断，经过安全事件模式分析，发现安全事件，并通过安全机制对安全事件进行响应和处置安全管理平台的用户一般包括系统管理员、安全管理员、安全操作员、安全审计员等——系统管理员负责创建安全操作员，负责安全管理平台的系统维护操作；安全管理员负责给安全操作员授权；可对安全部件进行安全规则配置的查看和设置修改,负责制定安全事件响应处置规则与安全管理平台运行策略的维护；——安全操作员负责安全规则的执行下发操作，并对安全事件进行响应处置操作；——安全审计员负责监管安全管理员和安全操作员的行为，负责审查系统操作记录，并进行备份、整理；——安全管理员与安全操作员可查看安全部件中的安全规则配置安全管理平台产品功能模型如图

5.1所示计算环境中的女全配置设置次青安全配置安全部件安全配置获取安全配置下发区域边界中的安全部件安全部件系统管理员审计记录获取审计记录通信网络中的规范化整理安全部件安全信息分析安全审计员安全事件响应安全操作员行为审计记录安全管理平台图

5.1安全管理平台功能模型5分级本标准对安全管理平台产品进行了分级，级别由低至高分为一级、二级、三级，功能、性能要求逐级增强加粗表明此要求为本级新增加的功能和性能指标下表显示每一级对于安全机制管理的程度主要安全功能一级二级三级设置安全规则配置参能设置等级保护三级能设置等级保护四级系数系统安全部件的统安全部件的安全规则配置参数安全规则配置参数能获取主要安全机制在一级功能基础上，能在二级功能基础上，能读取安全规则配置参中关键安全部件的安获取安全机制中主要获取安全机制中各安数全规则配置参数安全部件的安全规则全部件的安全规则配配置参数置参数能获取主要安全机制在一级功能基础上，能在二级功能基础上，能中关键安全部件的审获取各安全机制中主获取安全机制中各安获取审计记录计记录要安全部件的审计记全部件的审计记录录能根据安全事件模式在一级功能基础上，能在二级功能基础上，能直接判断并发现安全根据安全事件模式将根据安全事件模式将分析发现安全事件事件多种事件关联分析、多种事件关联分析、判断，发现安全事件判断，发现隐藏的安全事件能发现安全事件并立能发现安全事件并立能发现安全事件并立发现安全事件响应报即报警即报警，支持多种报即报警，支持多种报警警方式警方式及工单流程响应能根据事件处理模式在二级功能基础上，能根据安全事件处理模发出指令，启动安全根据安全事件处理模式设置安全规则配置部件的功能式自动设置安全规则参数配置参数其中，主要安全机制是指为执行信息系统安全策略，根据实际需要，在信息系统中着重采用的安全机制，如主机身份鉴别、主机访问控制、网络访问控制、防病毒等关键安全部件是指安全机制的重要组成部分，如网络访问控制安全机制的关键安全部件是防火墙;网络入侵防范安全机制的关键安全部件是网络入侵检测系统硬件及其中的检测探头和管理软件6一级产品功能和性能要求

6.1安全机制管理

1.1安全规则配置的获取本项包括以下要求.a）应能获取等级保护二级系统安全机制中关键安全部件的安全规则配置参数，形成范式化的安全规则配置数据b）范式化的安全规则配置数据应包括安全规则配置名称及类别、所属安全机制及类型、涉及资产名称及类型、安全规则配置内容等；c）应能记录授权操作员获取安全规则配置操作的信息，包括操作人、安全规则配置名称、安全规则配置内容等，并支持查询与排序

1.2安全规则配置的检查应能将获取的安全规则配置与预先设置的安全策略进行对照检查，如不相符合，则应报警

6.2安全信息采集处理

2.1基本信息采集

1.1用户身份信息本项包括以下要求a）应能收集信息系统用户的身份信息，包括信息系统用户帐号、信息系统名称、用户姓名、部门、职务、联系方式等

1.2用户权限信息应能收集用户对资产的访问、查看、修改和控制等权限信息

4.资产信息本项包括以下要求a）应能收集需要保护的资产信息，并能形成资产清单；b）资产信息应包括资产名称、资产类型、资产IP、所属部门、责任人、保护力度及资产物理位置等并可按资产类型、所属部门、所在位置、责任人等进行分类检索；c）应能唯一标识每个资产

1.2审计信息采集

2.1资产运行状态信息应能实时对资产运行状态信息进行采集，包括CPU、内存、磁盘、网络流量等

2.2用户行为审计信息本项包括以下要求a）应能获取等级保护二级系统主要安全机制中关键安全部件的审计记录，得到信息系统用户的操作行为记录信息；b）应能将信息系统用户操作行为记录信息与用户身份及权限信息对应

1.3安全信息整理本项包括以下要求a）应能对采集的审计信息进行统一格式化处理，形成安全信息；b）安全信息内容应包括事件名称、发生的日期和时间、数据来源、涉及的用户、影响的资产、描述信息、原始审计信息等；c）对于范式化失败的审计信息，应对原始审计信息进行存储；d）应能够对于安全信息进行过滤、归并处理；e）应能够定义过滤、归并规则

6.3安全信息分析处理

13.1资产运行状态分析本项包括以下要求a）应能定义资产运行的安全事件模式，规定资产运行状态的正常范围阈值，根据安全策略定义不同级别的安全事件；b）资产运行状态的安全事件模式应包括但不限于1）资产运行的资源占用超出阈值范围，如CPU、内存、磁盘、网络流量等；2）资产运行的资源配置变化量超出阈值范围；3）资产的启动和加载状态参数与预期不符c）应能根据分析规则对资产的CPU、内存、磁盘、网络流量等状态信息进行分析，发现运行状态的异常变化，并报告安全事件；d）资产运行状态分析应至少支持以下分析结果输出系统资源配置、系统加载和启动、系统运行状态等

3.2用户行为分析本项包括以下要求a）应能定义用户行为的安全事件模式，规定用户行为的正常范围阈值，根据安全规则定义不同级别的安全事件；b）用户行为的安全事件模式应包括但不限于1）用户权限异常扩大和升级；2）用户对资产资源的访问和操作超出权限范围；3）用户操作错误次数和方式超出允许范围c）应能根据分析规则对用户行为信息进行分析，发现用户行为的异常变化，并报告安全事件；d）应能结合组织架构分类对不同权限用户的行为定义正常阈值范围并分类管理

3.3资产防护能力分析a）应能根据安全机制的审计记录反映的用户行为和资产运行状态分析资产防护能力；b）应能设置资产防护能力的安全事件模式，规定资产防护能力的正常范围阈值，根据安全策略定义不同级别的安全事件；c）应能根据分析规则对资产脆弱性检测结果进行分析，发现资产防护能力的变化，并报告安全事件

3.4安全事件存储维护本项包括以下要求a）应能对安全信息分析所生成的安全事件集中存储于通用数据库中，应包含安全事件关键信息,如安全事件名称、发生时间、数据来源、涉及的用户及资产、级别；b）应能进行安全事件条件查询，如根据安全事件名称、发生时间、涉及的用户及资产、类型、级别、数据来源等.

3.5安全报表管理本项包括以下要求a）应能生成多种统计报表，包括资产清单、资产脆弱性、安全事件、告警等；b）应能根据安全事件的名称、时间、数据来源、涉及的用户、影响的资产、类型、级别、源IP、目的IP、端口等条件生成统计报表；c）应能进行安全状态信息的统计，包括安全事件级别、数量、类型的分布和变化趋势等，支持图形化展示；d）安全报表具有导出功能，能以Word等通用格式导出

6.4安全事件响应处置

4.1安全事件响应本项包括以下要求a）应能根据安全事件的类型、级别等属性信息定义安全事件响应规则，如安全事件名称、发生时间、类型、级别、影响的资产、涉及的用户等；b）应能在发现安全事件时立即响应，如报警等；c）应至少支持两种报警响应方式，如邮件、声光、对话框、报警消息、手机短信等

6.5知识库管理

5.1知识库体系本项包括以下要求a）知识库应包括安全策略库、安全事件模式库、安全规章制度库、案例库等；b）安全策略库应包括不同安全等级的安全策略及各种安全设备和系统的参数规则集；c）应能将安全事件处理过程作为案例添加到案例库中；d）安全事件模式库默认应包括基本安全应用场景案例的鉴别规则，如端口扫描、网络入侵、病毒爆发、数据库注入攻击、溢出攻击、拒绝服务攻击/分布式拒绝服务攻击、违规操作等

5.2知识库维护应能维护知识库内容，包括添加、修改、删除、查询、导入、导出等，知识库内容的变更应具备审核机制

6.6平台运行规则管理本项包括以下要求a）应能对平台运行规则进行管理，包括安全规则配置的采集、审计信息采集、安全信息范式化、安全信息过滤/归并、安全事件模式、安全事件响应等规则，能对平台运行规则进行添加、修改、删除操作；b）应能启用与停用平台运行规则；C）应能进行平台运行规则的条件查询；d）平台运行规则的维护与配置操作需要经过审核后才可正式生效

6.7系统支撑功能

7.1身份鉴别a）应具备用户名+口令的身份鉴别机制，支持口令复杂度检测；b）应在用户执行操作之前对用户进行身份鉴别；c）应具有用户登录失败策略的设置，包括指定最大失败尝试次数、锁定时长等；支持空闲超时设置

7.2权限控制本项包括以下要求:a）系统应能进行角色与角色权限自定义，可在角色权限范围内对用户权限进行自定义，权限定义应可针对安全管理平台系统功能、安全域、资产进行权限的划分；b）系统用户角色至少分为系统管理员、安全管理员、安全操作员、安全审计员四种系统管理员负责安全管理平台的系统维护操作；安全管理员负责安全规则配置、安全事件响应处置规则制定与安全管理平台运行策略维护；安全操作员负责安全规则的执行下发操作和安全事件响应处置；安全审计员负责审查系统操作记录，并进行备份、整理；c）新增用户在被授权前，应默认没有任何权限；

7.3系统审计管理本项包括以下要求a）系统应能完整记录系统用户的所有操作系统审计信息应包括操作用户名、操作日期和时间、功能模块、操作对象、操作内容等，支持组合查询、排序、数据导出；b）应能对自身安全审计记录隔离存储，如与安全信息和其他数据分隔保存至不同的记录文件、或不同的数据库、或同一数据库的不同数据表中

7.4系统保护机制本项包括以下要求a）应能进行录入数据的规范化检查，禁止非规范化数据录入系统，具备录入数据格式范例或帮助提示；b）平台组件应支持防卸载、防篡改等保护措施

7.5系统维护本项包括以下要求a）应确保安全管理平台各组件之间数据传输的保密性；b）应对安全管理平台自身各组件的工作状态进行监测，并进行异常告警；c）应具备数据安全备份与恢复功能；d）应能对存储的关键数据信息进行加密，如安全管理平台身份鉴别信息等；e）应支持日志存储空间利用率的告警；f）应支持产品卸载时进行数据清除提示

6.8接口要求本项包括以下要求a）应提供安全信息输出接口，能够支持安全信息、安全事件和安全管理平台自身审计信息的导出，该操作只能由授权安全审计员进行b）应提供安全规则配置采集接口，支持采用加密通信方式采集，如采用SNMP第三版方式c）应提供审计信息采集接口，如，可支持采用SNMP、SYSLOG等方式采集

6.9性能要求

9.1采集处理性能从不同类型数据源进行安全信息采集及处理能力不小于条记录/秒

5007.

9.2写入及查询响应性能本项包括以下要求）在条记录/秒的负载下，信息记录写入数据库的延迟时间不超过秒；）当数据库中的记录数达到a5006b1000万条时，模糊查询的响应时间不超过秒157二级产品功能和性能要求

7.1安全机制管理

1.1安全规则配置的设置本项包括以下要求.a）应能管理等级保护三级系统安全机制中的主要安全部件，能进行安全规则配置参数设置b）应能根据安全策略下发安全部件的安全规则配置，包括安全规则配置名称及类别、所属安全机制及类型、涉及资产名称及类型、安全规则配置内容等；c）应能对安全规则配置的下发操作进行审核并记录，记录内容包括安全规则名称、涉及资产名称、安全规则配置内容、操作时间、操作人、审核时间、审核人等，并支持查询与排序

1.2安全规则配置的获取本项包括以下要求a）应能获取等级保护三级系统安全机制中主要安全部件的安全规则配置参数，形成范式化的安全规则配置数据b）范式化的安全规则配置数据应包括安全规则配置名称及类别、所属安全机制及类型、涉及资产名称及类型、安全规则配置内容等；c）应能记录授权操作员获取安全规则配置操作的信息，包括操作人、安全规则配置名称、安全规则配置内容等，并支持查询与排序

1.3安全规则配置的检查应能将获取的安全规则配置与预先设置的安全策略进行对照检查，如不相符合，则应报警

7.2安全信息采集处理功能

2.1基本信息采集处理

7.用户身份信息本项包括以下要求a）应能通过安全规则配置收集信息系统用户的身份信息，包括信息系统用户帐号、信息系统名称、用户姓名、部门、职务、联系方式等；b）应能采集用户身份识别方式和识别结果

8.用户权限信息应能通过安全规则配置收集用户对资产的访问、查看、修改和控制等权限信息

9.资产信息本项包括以下要求a）应能通过安全规则配置收集需要保护的资产信息，并能形成资产清单；b）资产信息应包括资产名称、资产类型、资产IP、所属部门、责任人、保护力度及资产物理位置等并可按资产类型、所属部门、所在位置、责任人等进行分类检索；c）应能唯一标识每个资产

2.2审计信息采集处理

2.1资产运行状态信息应能实时对资产运行状态信息进行采集，包括CPU、内存、磁盘、网络流量、进程、服务等

2.2用户行为审计信息本项包括以下要求a）应能获取等级保护三级系统安全机制（参见附录1）中主要安全部件的审计记录，得到信息系统用户的操作行为记录信息；b）应能将信息系统用户操作行为记录信息与用户身份及权限信息对应安全信息整理本项包括以下要求a）应能对采集的审计信息进行统一格式化处理，形成安全信息；b）安全信息内容应包括事件名称、发生的日期和时间、数据来源、涉及的用户、影响的资产、协议、源IP、目的IP、源端口、目标端口、类型、级别、描述信息、原始审计信息等；c）对于范式化失败的审计信息，应对原始审计信息进行存储，并报告安全事件；d）应能够对于安全信息进行过滤、归并处理，清除无用和重复信息；e）应能够定义过滤、归并规则，支持多种过滤、归并方式

2.3安全信息分析处理功能

3.1资产运行状态分析本项包括以下要求a）应能定义资产运行的安全事件模式，规定资产运行状态的正常范围阈值，根据安全策略定义不同级别的安全事件；b）资产运行的安全事件模式应包括但不限于1）资产运行的资源占用超出阈值范围，如CPU、内存、磁盘、网络流量等；2）资产运行的资源配置变化量超出阈值范围；3）资产的启动和加载状态参数与预期不符c）应能根据分析规则对资产的CPU、内存、磁盘、网络流量、进程、服务、文件数量、文件大小等状态信息进行分析，发现运行状态的异常变化，并报告安全事件；d）资产运行状态分析应至少支持以下分析结果输出系统资源配置、系统加载和启动、系统运行状态等

3.2用户行为分析本项包括以下要求a）应能定义用户行为的安全事件模式，规定用户行为的正常范围阈值，根据安全策略定义不同级别的安全事件；目次前言IX弓【言X1范围12规范性引用文件13术语和定义

23.15缩略语24产品模型25分级36一级产品功能和性能要求

46.1安全机制管理

46.

1.1安全规则配置的获取

46.

1.2安全规则配置的检查

46.2安全信息采集处理

46.

2.1基本信息采集

46.

1.1用户身份信息

46.

1.2用户权限信息

46.

1.3资产信息

56.

2.2审计信息采集

56.

2.1资产运行状态信息

56.

2.2用户行为审计信息

56.

2.3安全信息整理5b）用户行为的安全事件模式应包括但不限于1）用户权限异常扩大和升级；2）用户对资产资源的访问和操作超出权限范围；3）用户操作错误次数和方式超出允许范围；4）用户行为模式与预期不符，如登录与退出方式和地点、操作流程习惯等；5）用户标记异常变动；6）用户行为超出强制控制范围c）应能根据分析规则对用户行为信息进行分析，并能将多种事件关联分析，发现用户行为的异常变化，并报告安全事件；d）应能结合组织架构分类对不同权限用户的行为定义正常阈值范围并分类管理

3.3资产防护能力分析本项包括以下要求a）应能根据安全机制的审计记录反映的用户行为和资产运行状态分析资产防护能力；b）应能设置资产防护能力的安全事件模式，规定资产防护能力的正常范围阈值，根据安全策略定义不同级别的安全事件；c）应能根据分析规则对资产脆弱性检测结果进行分析，发现资产防护能力的变化，并报告安全事件

3.4威胁分析本项包括以下要求a）应能对安全信息进行统计分析，根据安全事件模式判断结果，并报告安全事件；b）应能对安全信息、资产运行状态、用户行为、资产防护能力进行关联分析，根据安全事件模式判断结果，并报告安全事件

3.5安全事件存储维护本项包括以下要求a）应能对安全信息分析所生成的安全事件集中存储于通用数据库中，应包含安全事件关键信息,如安全事件名称、发生时间、数据来源、涉及的用户及资产、级别；b）应能进行安全事件条件查询，如根据安全事件名称、发生时间、涉及的用户及资产、类型、级别、数据来源、源IP、目的IP、源端口、目的端口等

3.6安全报表管理本项包括以下要求a）应能生成多种统计报表，包括资产清单、资产脆弱性、安全事件、告警等b）应能根据安全事件的名称、时间、数据来源、涉及的用户、影响的资产、类型、级别、源IP、目的IP、端口等条件生成统计报表；c）应能进行安全状态信息的统计，包括安全事件级别、数量、类型的分布和变化趋势等，支持图形化展示；d）安全报表具有导出功能，能以Word等通用格式导出；e）能够定义报表自动生成规则

7.4安全事件响应处置功能

4.1安全事件响应本项包括以下要求a）应能根据安全事件的类型、级别等属性信息定义安全事件响应规则，如安全事件名称、发生时间、类型、级别、影响的资产、涉及的用户等；b）应能在发现安全事件时立即响应，如报警、工作流程等；c）应至少支持两种报警响应方式，如邮件、声光、对话框、报警消息、手机短信等；d）工作流程响应方式应支持工单、启动应急响应预案等；工单信息应能完整记录工单流过程，包括工单任务名称、工单级别、工单来源、情况描述等，工单处理内容包括处理人、处理时间、解决方案、处理结果等；e）应支持自定义工单流程与工单内容，支持工单流程与工单内容导入、导出

4.2安全事件处置本项包括以下要求a）应能根据事件处理模式向特定的安全部件发出指令，启动安全部件的相应功能b）应能详细记录安全事件处理过程

1.5知识库管理

5.1知识库体系本项包括以下要求a）知识库应包括安全策略库、安全事件模式库、安全规章制度库、案例库等；b）安全策略库应包括不同安全等级的安全策略及各种安全设备和系统的参数规则集；c）应能将安全事件处理过程作为案例添加到案例库中d）安全事件模式库默认应包括基本安全应用场景案例的鉴别规则，如端口扫描、网络入侵、病毒爆发、数据库注入攻击、溢出攻击、拒绝服务攻击/分布式拒绝服务攻击、违规操作等

5.2知识库维护应能维护知识库内容，包括添加、修改、删除、查询、导入、导出等，知识库内容的变更应具备审核机制

2.6平台运行规则管理本项包括以下要求a）应能对平台运行规则进行管理，包括安全信息采集规则、安全信息范式化规则、安全信息过滤/归并规则、安全事件模式规则、安全事件响应规则等，支持对平台运行规则的添加、修改、删除操作；b）安全事件模式管理应能根据源地址、源端口、目的地址、目的端口、事件类型、事件级别或自定义条件等自定义关联分析规则；c）应支持平台运行规则的启用与停用；d）应支持平台运行规则的条件查询，能进行平台运行规则的批量导入与导出操作；e）平台运行规则的维护与配置操作需要经过审核后才可正式生效；f）安全信息采集规则、安全信息范式化规则、安全信息过滤/归并规则等平台运行规则应能自动下发执行

3.7系统支撑功能

7.1身份鉴别本项包括以下要求a）应具备用户名+口令+验证码的身份鉴别机制，支持口令复杂度检测；b）应在用户进行操作之前对用户身份进行鉴别；c）应支持用户登录失败策略的设置，包括失败次数、锁定时长等；支持空闲超时设置；

7.2权限控制本项包括以下要求a）系统应能进行角色与角色权限自定义，可在角色权限范围内对用户权限进行自定义，权限定义应可针对安全管理平台系统功能、安全域、资产进行权限的划分；b）系统用户角色至少分为系统管理员、安全管理员、安全操作员、安全审计员四种系统管理员负责安全管理平台的系统维护操作；安全管理员负责安全规则配置、安全事件响应处置规则制定与安全管理平台运行策略维护；安全操作员负责安全规则的执行下发操作和安全事件响应处置；安全审计员负责审查系统操作记录，并进行备份、整理c）新增用户在被授权前，应默认没有任何权限；

10.

7.4系统保护机制本项包括以下要求a）应能进行录入数据的规范化检查，禁止非规范化数据录入系统，具备录入数据格式范例或帮助提示；b）平台组件应具备防卸载、防篡改等保护措施

11.

7.5系统维护本项包括以下要求a）应确保安全管理平台各组件之间数据传输的保密性b）应能对关键数据信息进行加密，包括但不仅限于安全管理平台各组件之间传输的数据，安管平台与各安全设备之间传输的数据，安全管理平台身份鉴别信息等，对于传输失败的数据应具备缓存/恢复机制；c）应能对平台代理的运行状态进行监控，包括通信连接状态、安全信息采集状态等；d）应对安全管理平台自身各组件的工作状态进行监测，并进行异常告警e）应具备数据安全备份与恢复功能f）应能对存储的关键数据信息进行加密，如安全管理平台身份鉴别信息等g）应支持日志存储空间利用率的告警h）应支持产品卸载时进行数据清除提示

1.8接口要求本项包括以下要求a）应提供安全信息输出接口，能够支持安全信息、安全事件和安全管理平台自身审计信息的导出,该操作只能由授权安全审计员进行b）应提供安全规则配置采集接口，支持采用加密通信方式采集，如采用SNMP第三版方式c）应提供审计信息采集接口，如，可支持采用SNMP、SYSLOG等方式采集d）应提供级联接口，下级安全管理平台能输出安全信息、安全事件、响应处置结果至上级安全管理平台；上级安全管理平台能够接收下级安全管理平台输出的相关信息，下发规则定义至下级安全管理平台.

2.9性能要求

9.1采集处理性能从不同类型数据源进行安全信息采集及处理能力不小于1000条记录/秒

9.2写入及查询响应性能a）在1000条记录/秒的负载下，信息记录写入数据库的延迟时间不超过3秒；b）当数据库中的记录数达到1000万条时，模糊查询的响应时间不超过8秒8三级产品功能和性能要求

8.1安全机制管理

1.1安全规则配置的设置本项包括以下要求a）应能管理等级保护四级系统安全机制中的安全部件，能进行安全规则配置参数设置b）应能根据安全策略下发安全部件的安全规则配置并强制执行,包括:安全规则配置名称及类别、所属安全机制及类型、涉及资产名称及类型、安全规则配置内容等；c）应能对安全规则配置的下发及执行的操作进行审核并记录，记录内容包括安全规则名称、涉及资产名称、安全规则配置内容、操作时间、操作人、审核时间、审核人等，并支持查询与排序

1.2安全规则配置的获取本项包括以下要求a）应能获取等级保护四级系统安全机制（参照附录B）中安全部件的安全规则配置参数，形成范式化的安全规则配置数据b）范式化的安全规则配置数据应包括安全规则配置名称及类别、所属安全机制及类型、涉及资产名称及类型、安全规则配置内容等；c）应能记录授权操作员获取安全规则配置操作的信息，包括操作人、安全规则配置名称、安全规则配置内容等，并支持查询与排序

1.3安全规则配置的检查应能将获取的安全规则配置与预先设置的安全策略进行对照检查，如不相符合，则应报警

8.2安全信息采集处理

2.1基本信息采集处理

1.1用户身份信息本项包括以下要求a）应能通过安全规则配置收集信息系统用户的身份信息，包括•信息系统用户帐号、信息系统名称、用户姓名、部门、职务、联系方式等；b）应能采集用户身份识别方式和识别结果

1.2用户权限信息应能通过安全规则配置收集用户对资产的访问、查看、修改和控制等权限信息

8.资产信息本项包括以下要求a）应能通过安全规则配置收集需要保护的资产信息，并能形成资产清单；b）资产信息应包括资产名称、资产类型、资产IP、所属部门、责任人、保护力度及资产物理位置等并可按资产类型、所属部门、所在位置、责任人等进行分类检索；c）应能唯一标识每个资产

2.2审计信息采集处理

2.1资产运行状态信息应能实时对资产运行状态信息进行采集，包括CPU、内存、磁盘、网络流量、进程、服务等

8.用户行为审计信息本项包括以下要求a）应能获取等级保护四级系统安全机制中安全部件的审计记录，得到信息系统用户的操作行为记录信息；b）应能将信息系统用户操作行为记录信息与用户身份及权限信息对应

2.3安全信息整理本项包括以下要求a）应能对采集的审计信息进行统一格式化处理，形成安全信息；b）安全信息内容应包括事件名称、发生的日期和时间、数据来源、涉及的用户、影响的资产、协议、源IP、目的IP、源端口、目标端口、类型、级别、描述信息、原始审计信息等；c）对于范式化失败的审计信息，应对原始审计信息进行存储，并报告安全事件；d）应能够对于安全信息进行过滤、归并处理，清除无用和重复信息；e）应能够定义过滤、归并规则，支持多种过滤、归并方式

8.3安全信息分析处理

3.1资产运行状态分析本项包括以下要求a）应能定义资产运行的安全事件模式，规定资产运行状态的正常范围阈值，根据安全策略定义不同级别的安全事件b）能够对资产运行安全事件进行报警，安全事件类型应包括但不限于1）资产运行的资源占用超出阈值范围，如CPU、内存、磁盘、网络流量等2）资产运行的资源配置发生变化3）资产的启动和加载状态参数与预期不符c）应能根据分析规则对资产的CPU、内存、磁盘、网络流量、进程、服务、文件数量、文件大小等状态信息进行分析，发现运行状态的异常变化，并报告安全事件d）资产运行状态分析应至少支持以下分析结果输出系统资源配置、系统加载和启动、系统运行状态等

3.2用户行为分析本项包括以下要求a）应能定义用户行为的安全事件模式，规定用户行为的正常范围阈值，根据安全规则定义不同级别的安全事件b）用户行为的安全事件模式应包括但不限于1）用户权限异常扩大和升级2）用户对资产资源的访问和操作超出权限范围3）用户操作错误次数和方式超出允许范围4）用户行为模式与预期不符，如登录与退出方式和地点、操作流程习惯等5）用户标记异常变动6）用户行为超出强制控制范围c）应能根据分析规则对用户行为信息进行分析，能根据安全事件模式将多种事件关联分析，发现用户行为的异常变化及隐藏的安全威胁，并报告安全事件d）应能结合组织架构分类对不同权限用户的行为定义正常阈值范围并分类管理

10.

3.3资产防护能力分析本项包括以下要求a）应能根据安全机制的审计记录反映的用户行为和资产运行状态分析资产防护能力b）应能设置资产防护能力的安全事件模式，规定资产防护能力的正常范围阈值，根据安全策略定义不同级别的安全事件c）应能根据分析规则对资产脆弱性检测结果进行分析，发现资产防护能力的变化，并报告安全事件

11.

3.4威胁分析本项包括以下要求a）应能对安全信息进行统计分析，根据安全事件模式判断结果，并报告安全事件；b）应能对安全信息、信息系统运行状态、信息系统用户行为、资产防护能力进行关联分析，根据分析规则判断结果，并报告安全事件c）应能够还原完整的攻击步骤本项包括以下要求a）应能对安全信息分析所生成的安全事件集中存储于通用数据库中，应包含安全事件关键信息,如安全事件名称、发生时间、数据来源、涉及的用户及资产、级别b）应能进行安全事件条件查询，如根据安全事件名称、发生时间、涉及的用户及资产、类型、级别、数据来源、源IP、目的IP、源端口、目的端口等安全报表管理本项包括以下要求a）应能生成多种统计报表，包括资产清单、资产脆弱性、安全事件、告警等b）应能根据安全事件的名称、时间、数据来源、涉及的用户、影响的资产、类型、级别、源IP、目的IP、端口等条件生成统计报表c）应能进行安全状态信息的统计，包括安全事件级别、数量、类型的分布和变化趋势等，支持图形化展示d）安全报表具有导出功能，能以Word等通用格式导出e）能够定义报表自动生成规则

8.4安全事件响应处置

4.1安全事件响应本项包括以下要求a）应能根据安全事件的类型、级别等属性信息定义安全事件响应规则，如安全事件名称、发生时间、类型、级别、影响的资产、涉及的用户等b）应能在发现安全事件时立即响应，如报警、工作流程、安全机制联动等c）应至少支持两种报警响应方式，如邮件、声光、对话框、报警消息、手机短信等d）工作流程响应方式应支持工单、启动应急响应预案等；工单信息应能完整记录工单流过程，包括工单任务名称、工单级别、工单来源、情况描述等，工单处理内容包括处理人、处理时间、解决方案、处理结果等e）应支持自定义工单流程与工单内容，支持工单流程与工单内容导入、导出f）安全机制联动响应方式可支持安全策略自动生成下发并强制执行

4.2安全事件处置本项包括以下要求a）应能根据事件处理模式自动设置安全部件的安全规则配置参数，强制执行相应功能，如变更安全规则、切断网络连接、终止进程等b）应能详细记录安全事件处理过程c）应能根据安全规则向攻击源发出警告

1.5知识库管理

5.1知识库体系本项包括以下要求a）知识库应包括安全规则库、安全事件模式库、安全规章制度库、案例库、安全事件响应处置预案库等；b）安全策略库应包括不同安全等级的安全策略及各种安全设备和系统的参数规则集；c）应能将安全事件处理过程作为案例添加到案例库中d）安全事件模式库默认应包括基本安全应用场景案例的鉴别规则，如端口扫描、网络入侵、病毒爆发、数据库注入攻击、溢出攻击、拒绝服务攻击/分布式拒绝服务攻击、违规操作等e）安全事件响应处置预案库支持自动与安全事件关联

5.2知识库维护应能维护知识库内容，包括添加、修改、删除、查询、导入、导出等，知识库内容的变更应具备审核机制

1.6平台运行规则管理本项包括以下要求a）应能对平台运行规则进行管理，包括安全信息采集规则、安全信息范式化规则、安全信息过滤/归并规则、安全事件模式规则、安全事件响应规则等，支持对平台运行规则的添加、修改、删除操作；b）安全事件模式管理应能根据源地址、源端口、目的地址、目的端口、事件类型、事件级别或自定义条件等自定义关联分析规则；c）应支持平台运行规则的启用与停用；d）应支持平台运行规则的条件查询，能进行平台运行规则的批量导入与导出操作；e）平台运行规则的维护与配置操作需要经过审核后才可正式生效；f）安全信息采集规则、安全信息范式化规则、安全信息过滤/归并规则等平台运行规则应能自动下发执行

1.7系统支撑功能

7.1身份鉴别本项包括以下要求a）支持用户名+口令+验证码的身份鉴别机制，支持口令复杂度检测；b）应在用户进行操作之前对用户身份进行鉴别；c）支持用户登录失败策略的设置，包括失败次数、锁定时长等；支持空闲超时设置；d）应至少具备两种身份鉴别机制，其中应包含一种基于生物特征的鉴别方式，如指纹、视网膜等

7.2权限控制本项包括以下要求a）系统应支持角色与角色权限自定义，可在角色权限范围内对用户权限进行自定义，权限定义应可针对安全管理平台系统功能、安全域、资产进行权限的划分；b）系统用户角色至少分为系统管理员、安全管理员、安全操作员、安全审计员四利I系统管理员负责安全管理平台的系统维护操作；安全管理员负责安全规则配置、安全事件响应处置规则制定与安全管理平台运行策略维护；安全操作员负责安全规则的执行下发操作和安全事件响应处置；安全审计员负责审查系统操作记录，并进行备份、整理c）新增用户在被授权前，应默认没有任何权限；本项包括以下要求a）系统应能完整记录系统用户的所有操作系统审计信息应包括操作用户名、操作日期和时间、功能模块、操作对象、操作内容等，支持组合查询、排序、数据导出；b）支持自身安全审计记录的隔离存储，如与安全信息和其他数据分隔保存至不同的记录文件、或不同的数据库、或同一数据库的不同数据表中；

7.4系统保护机制本项包括以下要求a）应支持录入数据的规范化检查，禁止非规范化数据录入系统，具备录入数据格式范例或帮助提示；b）平台组件支持防卸载、防篡改等保护措施；

7.5系统维护本项包括以下要求a）应确保安全管理平台各组件之间数据传输的保密性b）应能对关键数据信息进行加密，包括但不仅限于安全管理平台各组件之间传输的数据，安管平台与各安全设备之间传输的数据，安全管理平台身份鉴别信息等，对于传输失败的数据应具备缓存/恢复机制；c）支持对各组件的集中管理，包括组件参数配置、组件程序更新、组件启停、通信连接状态、安全信息采集状态等；d）应对安全管理平台自身各组件的工作状态进行监测，并进行异常告警e）应具备数据安全备份与恢复功能f）应能对存储的关键数据信息进行加密，如安全管理平台身份鉴别信息、系统安全审计记录等g）应支持日志存储空间利用率的告警h）应支持产品卸载时进行数据清除提示

8.8接口要求本项包括以下要求a）应提供安全信息输出接口，能够支持安全信息、安全事件和安全管理平台自身审计信息的导出,该操作只能由授权安全审计员进行b）应提供安全规则配置采集接口，支持采用加密通信方式采集，如采用SNMP第三版方式c）应提供审计信息采集接口，如，可支持采用SNMP、SYSLOG等方式采集d）应提供级联接口，下级安全管理平台能输出安全信息、安全事件、响应处置结果至上级安全管理平台；上级安全管理平台能够接收下级安全管理平台输出的相关信息，下发规则定义至下级安全管理平台

8.9性能要求

9.1采集处理性能从不同类型的数据源进行数据采集及处理的能力应不小于条记录/秒2000写入及查询响应能力本项包括以下要求a）在2000条记录/秒的负载下，信息记录写入数据库的延迟时间不超过3秒；b）当数据库中的日志记录数达到1000万条时，模糊查询的响应时间不超过5秒9安全保证要求

9.1配置管理保证本项包括以下要求e）开发商应使用配置管理系统，为安全管理平台产品的不同版本提供唯一的标识；f）开发者应针对不同用户提供唯一的授权标识；g）要求配置项应有唯一标识；h）开发商应提供配置管理文档

9.2交付与运行保证本项包括以下要求i）开发商应确保安全管理平台产品的交付、安装、配置和使用是可控的；j）开发商应以文件方式说明安全管理平台产品的安装，配置和启动的过程；k）用户手册应详尽描述安全管理平台产品的安装，配置和启动运行所必需的基本步骤；1）上述过程中不应向非产品使用者提供网络拓扑信息

9.3指导性文档

43.1管理员指南本项包括以下要求m）开发商应提供针对安全管理平台产品管理员的管理员指南；n）管理员指南应描述管理员可使用的管理功能和接口；o）管理员指南应描述怎样以安全的方式管理安全管理平台产品；P）对于在安全处理环境中必须进行控制的功能和特权，管理员指南应提出相应的警告；q）管理员指南应描述所有受管理员控制的安全参数，并给出合适的参数值；r）管理员指南应包含安全功能如何相互作用的指导；s）管理员指南应包含怎样安全规则配置安全管理平台产品的指令；t）管理员指南应描述在安全管理平台产品的安全安装过程中可能要使用的所有配置选项；u）管理员指南应充分描述与安全管理相关的详细过程；v）管理员指南应能指导用户在产品的安装过程中产生一个安全的配置用户指南本项包括以下要求a）开发商应提供用户指南；b）用户指南应描述非管理员用户可用的功能和接口；c）用户指南应包含使用安全管理平台产品提供的安全功能和指导；d）用户指南应清晰地阐述安全管理平台产品安全运行中用户所必须负的职责，包含产品在安全使用环境中对用户行为的假设

6.3安全信息分析处理

56.

3.1资产运行状态分析

56.

3.2用户行为分析

56.

3.3资产防护能力分析

66.

66.4安全事件响应处置

66.

66.5知识库管理

66.

76.

76.6平台运行规则管理

76.7系统支撑功能

76.

7.1身份鉴别

76.

7.2权限控制

76.

7.3系统审计管理

76.

7.4系统保护机制

86.

86.8接口要求

86.9性能要求

86.

9.1采集处理性能

87.

9.2写入及查询响应性能87二级产品功能和性能要求

88.1安全机制管理

88.

1.1安全规则配置的设置

87.

1.2安全规则配置的获取

97.

1.3安全规则配置的检查

97.2安全信息采集处理功能

97.

2.1基本信息采集处理

97.

1.1用户身份信息

97.

1.2用户权限信息

97.

1.3资产信息

97.

2.2审计信息采集处理

97.

2.1资产运行状态信息

97.

2.2用户行为审计信息

107.

2.3安全信息整理

107.3安全信息分析处理功能

107.

3.1资产运行状态分析

107.

3.2用户行为分析

107.

3.3资产防护能力分析

117.

3.4威胁分析

117.

3.5安全事件存储维护

119.

4.1功能测试本项包括以下要求e）开发商应测试安全管理平台产品的功能，并记录结果；f）开发商在提供安全管理平台产品时应同时提供该产品的测试文档；g）测试文档应由测试计划、测试过程描述和测试结果组成；h）测试文档应确定将要测试的产品功能，并描述将要达到的测试目标；i）测试过程的描述应确定将要进行的测试，并描述测试每一安全功能的实际情况；j）测试文档的测试结果应给出每一项测试的预期结果；k）开发商的测试结果应证明每一项安全功能和设计目标相符

4.2测试覆盖面分析报告本项包括以下要求a）开发商应提供对安全管理平台产品测试覆盖范围的分析报告；b）测试覆盖面分析报告应证明测试文件中确定的测试项目可覆盖安全管理平台产品的所有安全功能

4.3测试深度分析报告本项包括以下要求a）开发商应提供对安全管理平台产品的测试深度的分析报告；b）测试深度分析报告应证明测试文件中确定的测试能充分表明安全管理平台产品的运行符合安全功能规范

44.4独立性测试开发者应提供证据证明，开发者提供的安全管理平台产品经过独立的第三方测试并通过

9.5脆弱性分析保证

5.1指南检查本项包括以下要求a）开发者应提供指南性文档；b）在指南性文档中，应确定对安全管理平台产品的所有可能的操作方式（包含失败和操作失误后的操作）、它们的后果以及对于保持安全操作的意义指南性文档中还应列出所有目标环境的假设以及所有外部安全措施（包含外部程序的、物理的或人员的控制）的要求指南性文档应是完整的、清晰的、一致的、合理的

105.2脆弱性分析本项包括以下要求a）开发者应从用户可能破坏安全策略的明显途径出发,对安全管理平台产品的各种功能进行分析并提供文档对被确定的脆弱性，开发者应明确记录采取的措施；b）对每一条脆弱性，应有证据显示在使用安全管理平台产品的环境中该脆弱性不能被利用在文档中，还需证明经过标识脆弱性的安全管理平台产品可以抵御明显的穿透性攻击；c）脆弱性分析文档应明确指出产品已知的安全隐患、能够侵犯产品的已知方法以及如何避免这些隐患被利用

9.6生命周期支持本项包括以下要求a）开发者应提供开发安全文件；b）开发安全文件应描述在安全管理平台产品的开发环境中，为保护安全管理平台产品设计和实现的机密性和完整性，而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施开发安全文件还应提供在安全管理平台产品的开发和维护过程中执行安全措施的证据10测评方法

10.1总体说明测试方法与技术要求一一对应，它给出具体的测试方法来验证安全管理平台产品是否达到技术要求中所提出的要求它由测试环境、测试方法和预期结果三个部分构成

10.2测试环境功能测试环境示意图可参见图2O图1安全管理平台产品功能测试环境示意图

10.3一级产品功能和性能测评方法

10.

3.1安全机制管理

10.

1.1安全规则配置信息的获取a）测试方法1）尝试获取信息系统各种安全部件的安全配置数据参数，并核对；2）检查安全配置数据；3）检查审计记录，并核对b）预期结果1）获取的安全配置数据参数内容准确且完整，并能在管理界面上统一展示;2）安全配置数据内容准确且完整，正确、完整，包含

6.L2b）中规定的内容；3）审计记录中包括授权操作员获取安全配置操作的信息，并且内容详细、完整、容易理解

10.

1.2安全规则配置的检查a）测试方法1）将获取的安全规则与预先设置的安全策略进行对照检查，并核对b）预期结果1）检查结果正确，并且发现有不一致时能够报警

10.

3.2安全信息采集处理功能

10.

2.1基本信息采集处理

10.

1.1用户身份信息a）测试方法1）收集信息系统用户的身份信息，并核对b）预期结果1）收集的身份信息内容正确、完整

10.

1.2用户权限信息a）测试方法1）收集用户对资产的访问、查看、修改和控制等权限信息，并核对b）预期结果1）收集到的权限信息内容正确、完整

10.

1.3资产信息a）测试方法1）收集资产信息，形成资产清单，并核对；2）核对资产信息内容；3）对资产进行标识b）预期结果1）收集资产清单内容正确、完整；2）资产信息包含

2.L3b）中规定的内容，没有遗漏；3）资产的标识唯一，不能重复安全信息采集处理

10.

2.1资产运行状态信息a）测试方法1）采集资产的CPU、内存、磁盘、网络流量等状态信息，并核对b）预期结果1）采集的资产状态内容正确、完整

10.

2.2用户行为审计信息a）测试方法1）收集信息系统用户的操作行为记录，核对收集的信息；2）检查收集的信息系统用户操作行为与收集的身份信息对应性b）预期结果1）收集信息系统用户的操作行为记录信息内容正确、完整、容易理解；2）收集的信息系统用户操作行为与收集的身份信息一一对应，内容正确

10.

2.3安全信息整理a）测试方法1）分别获取不同设备的日志，查询获取到日志；2）查看范式化后的安全事件记录的内容；3）模拟审计信息范式化失败操作；4）定义过滤、归并规则，根据设置的规则，对范式化的数据进行过滤、合并处理，查询处理后的数据b）预期结果1）能够按照统一标准格式显示日志；2）安全事件记录包括

2.3b）中规定的内容，且内容正确、完整、容易理解；3）范式化失败后，对原始审计信息进行存储；4）查询结果的内容为规则中保留的数据，其他的数据已经被删除

10.

3.3安全信息分析处理

10.

3.1资产运行状态分析a）测试方法1）定义资产运行的安全事件模式，规定资产运行状态的正常范围阈值；2）模拟各类资产运行的安全事件，包括资产运行的资源占用超出阈值范围、资产配置发生变化、资产的启动和加载状态不正常；3）制定分析规则对资产的CPU、内存、磁盘、网络流量等状态信息进行分析；4）核对资产状态信息b）预期结果1）能根据安全规则定义不同级别的安全事件；2）收到了相关报警；3）能发现运行状态的异常变化，并报告安全事件；4）能分析的资产状态信息包括系统资源配置、系统加载和启动、系统运行状态等

10.

3.2用户行为分析c）测试方法1）定义用户行为的安全事件模式，规定用户行为的正常范围阈值；.2）模拟匹配规则的用户行为安全事件，触发规则；3）模拟用户行为的异常变化；4）分类管理不同用户的行为定义正常阈值范围d）预期结果1）能够制定不同级别的用户行为安全事件模式；2）能够识别并报告用户的安全事件包含

3.2b）中规定的模式；3）能及时发现用户行为的异常变化，并报告安全事件；4）超出定义的正常阈值范围，能够及时报告资产防护能力分析a）测试方法1）对用户行为和资产运行状态进行分析，能得到分析结果；2）定义资产防护能力的安全事件模式，规定资产防护能力的正常范围阈值；3）指定分析规则对资产脆弱性检测结果进行分析，模拟资产防护能力的异常变化b）预期结果1）分析结果应能指出资产的防护能力达到的级别；2）能够制定不同级别的资产防护能力安全事件模式；超出定义的正常阈值范围，能够及时报告；3）能及时发现资产防护能力的异常变化，并报告安全事件

10.

3.4安全事件存储维护a）测试方法1）检查产品是否部署数据库，查看数据库中的内容；2）对安全事件进行条件查询b）预期结果1）产品将范式化的数据与分析生成的安全事件均存储在数据库中；2）查询条件包含

3.4b）中规定的内容安全报表管理a）测试方法1）生成各种统计报表；2）按条件生成报表；3）进行安全状态信息的统计，审查报表内容；4）导出报表b）预期结果1）报表类型包含

3.5a）中规定的内容；2）支持按条件生成报表，且条件包含

3.5b）中规定的内容；3）报表能以图形化形式展示安全事件级别、数量、类型的分布和变化趋势等；4）导出格式支持Word等通用格式

10.

4.全事件响应处置功能

10.

5.1安全事件响应a）测试方法1）根据安全事件类别和严重程度定义和配置响应规则，模拟匹配规则的安全事件；2）在不同的响应规则中设置不同的报警响应方式，模拟各种安全事件的发生；3）为不同的安全事件配置邮件、声光、对话框、报警消息、手机短信等报警响应方式，模拟各种安全事件b）预期结果1）根据配置的规则，收到的自动响应信息；2）分别收到了不同的报警响应信息；3）对于不同的安全事件收到不同形式的报警信息，支持两种以上的报警方式

10.

4.2安全事件处置a）测试方法1）通过人工干预对安全事件进行处置，如变更安全规则b）预期结果1）变更安全规则后，相关设备的安全规则发生了相应变更

10.

3.5知识库管理

10.

5.1知识库体系a）测试方法1）检查各项知识库及内容2）检查安全规则库内容；3）将安全事件处理过程添加到案例库中，检查案例库；4）检查安全事件模式库b）预期结果1）知识库中包含包括安全规则库、安全事件模式库、安全规章制度库、案例库等内容；2）安全规则库中包含不同安全等级的安全策略及各种安全设备和系统的安全规则参数集；3）案例库中增加了安全事件处理过程相关内容；4）安全事件模式库中包含

5.Id）中的内容知识库维护a）测试方法1）对知识库内容进行添加、修改、删除，对各项变更进行审核通过操作，查询知识库的内容；对知识库内容进行添加、修改、删除，对各项变更进行审核不通过操作或不对其进行审核，查询知识库的内容b）预期结果1）对各项变更进行审核通过后，可在知识库中查询到变更后的内容，对各项变更进行审核不通过操作或不对其进行审核，仅能在知识库中查询未经变更的内容

10.

3.6平台运行规则管理a）测试方法1）对平台的各种运行规则进行管理；2）启用与停用平台运行规则；3）对平台运行规则进行条件查询、批量导入与导出操作；4）进行平台运行规则的维护与配置操作b）预期结果1）能

6.6a）中规定的各类平台运行规则进行添加、修改、删除操作；2）启用后，对应的平台运行规则生效；停用后，对应的平台运行规则失效；3）支持平台运行规则的条件查询、批量导入与导出操作；4）平台运行规则的维护与配置操作经过审核后才生效，否则不起作用系统支撑功能

10.

7.1身份鉴别a）测试方法1）进行登录尝试；启用口令复杂度检查功能，尝试新建管理员并分别为其设置简单（比如仅数字或仅小写字母）及复杂（比如使用数字、字母、特殊字符组合）的口令；2）尝试执行与产品功能相关的操作；3）设置用户鉴别尝试阈值，使用某账号及错误的口令尝试登录不少于所设定的阈值次数，再以正确的口令尝试登录，查看系统日志；设定管理会话超时时间值，在设定值期间内不做任何管理操作，超过设定值后尝试进行管理b）预期结果1）登录时需要输入正确的用户名、口令；2）需要成功的通过鉴别才能执行相关操作；3）当设置的口令过于简单时，提示口令不满足要求，无法新增用户；但设置口令复杂度满足要求时，新增用户成功；测试账号以正确的用户名和口令也不能再登录系统，系统日志中记录了登录失败事件和账号锁定事件；超时后，系统拒绝各项管理操作直至重新成功通过鉴别

10.

7.2权限控制a）测试方法1）自定义角色与角色权限；2）以不同的用户角色登录，进行各种操作尝试；3）使用新增的用户登录，进行各种操作尝试b）预期结果1）支持角色与角色权限自定义，可在角色权限范围内对用户权限进行自定义；2）系统用户角色至少分为系统管理员、安全操作员、安全管理员、安全审计员四种系统管理员负责安全管理平台的系统维护操作；安全操作员负责安全管理平台运行策略维护和安全事件处置；安全管理员负责操作审核和管理对象维护；安全审计员负责审查系统操作记录，并进行备份、整理；不同角色的管理员登录后均有特定的操作界面，界面上隐藏了不在权限范围内的功能；.3）新增的用户登录后除了修改自己的口令，不能进行其它任何操作

10.

7.3系统审计管理a）测试方法1）以具有不同权限的管理员身份登录系统，进行相关的操作及配置；2）据管理员用户名、事件发生的日期和时间、功能模块、操作内容等条件组合查询，排序和导出，查看查询结果、排序结果和导出结果；3）尝试以安全审计员和其他身份用户对日志进行管理；4）进入日志文件存放目录或数据库，查看自身安全审计记录与被管理的目标信息系统的信息数据b）预期结果1）系统日志中记录了各项重要操作管理员身份鉴别事件（包括成功与失败），管理员及设备的增加、修改、删除，安全策略的配置及下发等；2）日志内容包括了管理员用户名、事件发生的日期和时间、功能模块、操作内容；查询结果过滤了条件以外的日志，排序结果能够根据条件进行展示，导出结果过滤了条件以外的日志，条件内的数据无丢失；3）仅安全审计员才能够查看和管理系统日志；4）系统自身安全审计记录保存在独立的文件或者独立的数据表中，与被管理的目标信息系统的信息数据分开存放

10.

7.4系统保护机制a）测试方法1）查看开发者提供文档说明，明确该产品纠错报警和容错保护的范围，在范围内模拟各种错误，如录入数据、配置参数和设置策略时输入数据格式不正确、必填项缺失；2）通过修改数据库或配置文件的方式对录入的数据、相关参数和策略的设置进行篡改；3）尝试篡改安全代理程序、安全代理配置参数或删除安全代理程序、配置文件；4）尝试采用终止进程、服务等方式强制停止安全代理运行；5）尝试在安装代理的主机上卸载安全代理程序b）预期结果1）管理界面上具备录入数据格式范例或帮助提示；能发现并指出各种不规范的信息；2）发现设置被篡改，并能对其进行恢复，恢复后与其修改之前的状态一致；3）非授权人员无法篡改和删除安全代理程序和相关配置文件；4）无法通过非授权方式停止安全代理，或停止后代理可自动重启；5）不能直接通过控制面板-添加/删除程序卸载或文件删除的方式卸载安全代理，卸载前需要输入卸载口令或经过授权

10.

7.5系统维护a）测试方法1）模拟各组件之间的通信行为，使用截包工具截取产品通信数据；2）对安全管理平台自身各功能模块的工作状态进行监测，并核对3）对数据进行备份与恢复操作；4）进入数据存储的目录或数据库中对应的数据表，检查存储关键数据的文件；5）设置磁盘空间报警阈值及到达阈值后的相关动作，模拟产生数据，使得磁盘空间达到阈值；.6）尝试卸载产品b）预期结果1）所截取的通信数据内容为人不可理解；2）能正确显示各组件的工作状态，并在发生异常时，能收到报警信息；3）支持数据的备份与恢复；4）安全管理平台身份鉴别信息等以非明文方式存储，内容为人不可理解；5）当磁盘空间达到阈值时，授权管理员能够接收到相应的报警信息；6）卸载产品时，能自动对产品中保存的数据进行清除，或提醒用户删除接口要求a）测试方法1）审查开发商是否在文档中对该产品所提供的接口函数进行详细说明；2）以授权人员身份尝试导出产品的安全信息和自身审计信息，查看导出的信息；以非授权人员身份尝试导出产品的安全信息和自身审计信息，查看导出的信息3）采用SNMP第三版方式进行安全规则配置采集，并核对；4）采用SNMP、SYSL0G等方式采集审计信息，并核对b）预期结果1）所提供说明文档应详细说明安管平台和其所支持的产品之间的通信函数；2）授权人员可导出产品的安全信息和自身审计信息，并且导出的信息正确，没有数据丢失；非授权人员无法导出数据3）采集的安全规则配置信息正确；4）采集审计信息正确性能要求

10.

9.1采集处理性能a）测试方法1）模拟从不同数据源进行数据采集（可使用数据包重放工具或安全信息模拟发生工具），在一段时间内（3分钟）模拟发送不同格式的数据；同样的模拟条件下测试3次，统计安全管理平台产品采集以及处理的数据量，计算产品的平均采集及处理记录数b）预期结果1）产品在执行数据采集及处理过程中，设备应保持正常工作，不出现失去响应、死机等情况；安全管理平台产品对数据采集及处理的平均速度应大于或等于500条记录/秒写入及查询响应性能a）测试方法1）在500条记录/秒的负载下，计算信息记录写入数据库的延迟时间，同样的模拟条件下测试3次，求平均值；2）开发者应提供产品所支持数据源的数据内容数据规模至少1000万条，每一条的数据内容各不相同；通过安全管理平台产品界面对日志进行模糊查询在同样的模拟环境下测试3次，记录点击查询后到第一条反馈数据显示之间的平均响应时间b）预期结果1）信息记录写入数据库的平均延迟时间小于或等于6秒；2）安全管理平台产品的模糊查询的平均响应时间应小于或等于15秒

10.4二级产品功能和性能测评方法

10.

4.1安全机制管理

10.

1.1安全规则配置的设置a）测试方法1）尝试对信息系统各种安全部件进行各类安全机制管理，并核对;2）配置安全策略，对各类安全机制中安全规则的进行下发，在相关的设备上审查下发的安全规则内容，并检查规则的执行情况；3）检查审计记录，并核对b）预期结果1）产品能够添加、删除、修改和查询各类安全机制，并且安全机制类型包含

7.L1a）中规定的内容，没有遗漏；2）从相关的安全部件上接收到的安全规则内容正确、完整，且包含

1.1b）中规定的内容；3）审计记录中包括安全规则的配置下发，并且内容详细、完整、容易理解

10.

1.2安全规则配置的获取a）测试方法1）尝试获取信息系统各种安全部件的安全配置数据参数，并核对；2）检查安全配置数据；3）检查审计记录，并核对b）预期结果1）获取的安全配置数据参数内容准确且完整，并能在管理界面上统一展示；2）安全配置数据内容准确且完整，正确、完整，包含

1.2b）中规定的内容；3）审计记录中包括授权操作员获取安全配置操作的信息，并且内容详细、完整、容易理解

10.

1.3安全规则配置的检查a）测试方法1）将获取的安全配置与预先设置的安全策略进行对照检查，并核对b）预期结果1）检查结果正确，并且发现有不一致时能够报警

10.

4.2安全信息采集处理功能

10.

2.1基本信息采集处理身份信息采集a）测试方法1）通过安全规则配置收集信息系统用户的身份信息，并核对；2）采集用户身份识别方式和识别结果，并核对b）预期结果1）收集的身份信息内容正确、完整；2）采集的用户身份识别方式和识别结果正确、完整

10.

4.2,

1.2用户权限信息a）测试方法1）通过安全规则配置收集用户对资产的访问、查看、修改和控制等权限信息，并核对b）预期结果1）通过安全规则配置收集到的权限信息内容正确、完整

10.

1.3资产信息

3.6安全报表管理

117.4安全事件响应处置功能

117.

4.1安全事件响应

117.

4.2安全事件处置

127.5知识库管理

127.

5.2知识库维护

127.6平台运行规则管理

127.7系统支撑功能

127.

7.2权限控制

137.

7.3系统审计管理

137.

7.4系统保护机制

137.

7.5系统维护

137.8接口要求

137.9性能要求

147.

9.1采集处理性能

148.

9.2写入及查询响应性能148三级产品功能和性能要求

149.1安全机制管理

148.

1.1安全规则配置的设置

148.

1.2安全规则配置的获取

148.

31.3安全规则配置的检查

148.2安全信息采集处理

148.

2.1基本信息采集处理

148.

1.1用户身份信息

148.

1.2用户权限信息

158.

1.3资产信息

158.

2.2审计信息采集处理

158.

2.1资产运行状态信息

158.

2.2用户行为审计信息

158.

2.3安全信息整理

158.3安全信息分析处理

158.

3.1资产运行状态分析

158.

3.2用户行为分析

168.

3.3资产防护能力分析

168.

3.4威胁分析

168.

3.5安全事件存储维护

168.

3.6安全报表管理

161.4安全事件响应处置

178.

4.1安全事件响应

179.

4.2安全事件处置17a）测试方法1）通过安全规则配置收集资产信息，形成资产清单，并核对；2）核对资产信息内容；3）对资产进行标识b）预期结果1）通过安全规则配置收集资产清单内容正确、完整；2）资产信息包含

2.L3b）中规定的内容，没有遗漏；3）资产的标识唯一，不能重复

10.

2.2安全信息采集处理

10.

2.1资产运行状态信息a）测试方法1）采集资产的CPU、内存、磁盘、网络流量、进程、服务等状态信息，并核对b）预期结果1）采集的资产状态内容正确、完整

10.

2.3安全信息整理a）测试方法1）分别获取不同设备的日志，查询获取到日志；2）查看范式化后的安全事件记录的内容；3）模拟审计信息范式化失败操作；4）模拟采集一些无用或重复的信息，对安全信息进行过滤、合并处理，查询处理后的安全信息；5）定义过滤、归并规则，根据设置的规则，对范式化的数据进行过滤、合并处理，查询处理后的数据b）预期结果1）能够按照统一标准格式显示日志；2）安全事件记录包括

2.3b）中规定的内容，且内容正确、完整、容易理解；3）范式化失败后，对原始审计信息进行存储；4）处理后的安全信息中不存在无用或重复的信息；5）查询结果的内容为规则中保留的数据，其他的数据已经被删除;支持多种过滤、归并方式安全信息分析处理

10.

3.1资产运行状态分析a）测试方法1）定义资产运行的安全事件模式，规定资产运行状态的正常范围阈值；2）模拟各类资产运行的安全事件，包括资产运行的资源占用超出阈值范围、资产配置发生变化、资产的启动和加载状态不正常；3）制定分析规则对资产的CPU、内存、磁盘、网络流量、进程、服务、文件数量、文件大小等状态信息进行分析；4）核对资产状态信息b）预期结果1）能根据安全规则定义不同级别的安全事件；2）收到了相关报警；3）能发现运行状态的异常变化，并报告安全事件；4）能分析的资产状态信息包括系统资源配置、系统加载和启动、系统运行状态等

10.

3.2用户行为分析a）测试方法1）定义用户行为的安全事件模式，规定用户行为的正常范围阈值；2）模拟匹配规则的用户行为安全事件，触发规则；3）模拟用户行为的异常变化；4）分类管理不同用户的行为定义正常阈值范围b）预期结果1）能够制定不同级别的用户行为安全事件模式；2）能够识别并报告用户的安全事件包含

3.2b）中规定的模式；3）能及时发现用户行为的异常变化，并报告安全事件；4）超出定义的正常阈值范围，能够及时报告

10.

3.3资产防护能力分析a）测试方法1）对用户行为和资产运行状态进行分析，能得到分析结果；2）定义资产防护能力的安全事件模式，规定资产防护能力的正常范围阈值；3）指定分析规则对资产脆弱性检测结果进行分析，模拟资产防护能力的异常变化b）预期结果1）分析结果应能指出资产的防护能力达到的级别；2）能够制定不同级别的资产防护能力安全事件模式；超出定义的正常阈值范围，能够及时报告；3）能及时发现资产防护能力的异常变化，并报告安全事件威胁分析a）测试方法1）对安全信息进行统计分析2）对安全信息、信息系统运行状态、信息系统用户行为、资产防护能力进行关联分析b）预期结果1）能根据分析规则判断结果，并报告安全事件；2）产品对相关关联的事件能利用关联分析相关技术进行综合判断和分析，分析结果明确哪些事件有关，并指出事件间的联系

10.

3.5安全事件存储维护a）测试方法1）检查产品是否部署数据库，查看数据库中的内容；2）对安全事件进行条件查询b）预期结果1）产品将范式化的数据与分析生成的安全事件均存储在数据库中；2）查询条件包含

3.5b）中规定的内容安全报表管理a）测试方法1）生成各种统计报表；2）按条件生成报表；3）进行安全状态信息的统计，审查报表内容；4）导出报表；5）定义报表自动生成规则b）预期结果1）报表类型包含

3.6a）中规定的内容；2）支持按条件生成报表，且条件包含

3.6b）中规定的内容；3）报表能以图形化形式展示安全事件级别、数量、类型的分布和变化趋势等；4）导出格式支持Word等通用格式；5）能够根据规则自动生成报表

14.4安全事件响应处置功能

10.

4.1安全事件响应a）测试方法1）根据安全事件类别和严重程度定义和配置响应规则，模拟匹配规则的安全事件；2）在不同的响应规则中设置不同的响应方式（包括报警、工作流程响应等），模拟各种安全事件的发生；3）为不同的安全事件配置邮件、声光、对话框、报警消息、手机短信等报警响应方式，模拟各种安全事件4）定义不同的工作流程响应方式，检查产品是否支持；模拟安全事件，触发工单响应方式，审查工单信息；5）配置工单流程（包括人员、步骤、转移、动作等），模拟安全事件发生，检查通过工单将安全事件信息发送给设定的管理对象责任人；对工单流程与工单内容进行导入、导出.b）预期结果1）根据配置的规则，收到的自动响应信息；2）分别收到了报警、工作流程响应信息；3）对于不同的安全事件收到不同形式的报警信息，支持两种以上的报警方式；4）工作流程响应方式应支持工单、启动应急响应预案等工单信息能完整记录工单流转过程，内容正确、容易理解，且包含

4.1d）中规定的内容；5）管理对象的责任人接收到相应工单或应急响应预案等，可导入、导出工单流程与工单内容.

10.

4.2安全事件处置a）测试方法1）通过人工干预或自动触发方式对安全事件进行处置，如变更安全规则；2）检查安全事件处理过程b）预期结果1）变更安全规则后，相关设备的安全规则发生了相应变更；2）产品详细记录了安全事件处置过程，内容正确、完整、容易理解

10.

4.5知识库管理

10.

6.1知识库体系a）测试方法1）检查各项知识库及内容2）检查安全规则库内容；3）将安全事件处理过程添加到案例库中，检查案例库；4）检查安全事件模式库b）预期结果1）知识库中包含包括安全规则库、安全事件模式库、安全规章制度库、案例库、安全事件响应处置预案库等内容；2）安全规则库中包含不同安全等级的安全策略及各种安全设备和系统的安全规则参数集；3）案例库中增加了安全事件处理过程相关内容；4）安全事件模式库中包含

5.1d）中的内容知识库维护a）测试方法1）对知识库内容进行添加、修改、删除，对各项变更进行审核通过操作，查询知识库的内容；对知识库内容进行添加、修改、删除，对各项变更进行审核不通过操作或不对其进行审核，查询知识库的内容；2）尝试将知识库中数据导出，删除、修改知识库中部分内容，再次导入该数据，比对内容是否与导出前一致b）预期结果1）对各项变更进行审核通过后，可在知识库中查询到变更后的内容，对各项变更进行审核不通过操作或不对其进行审核，仅能在知识库中查询未经变更的内容；2）数据导入后，与导出前的数据一致平台运行规则管理a）测试方法1）对平台的各种运行规则进行管理；2）自定义关联分析规则；3）启用与停用平台运行规则；4）对平台运行规则进行条件查询、批量导入与导出操作；5）进行平台运行规则的维护与配置操作；6）下发安全信息采集规则、安全信息范式化规则、安全信息过滤/归并规则b）预期结果1）能

7.7a）中规定的各类平台运行规则进行添加、修改、删除操作；2）自定义关联分析规则中的条件包含

7.6b）中规定的内容；3）启用后，对应的平台运行规则生效；停用后，对应的平台运行规则失效；4）支持平台运行规则的条件查询、批量导入与导出操作；5）平台运行规则的维护与配置操作经过审核后才生效，否则不起作用；6）相关资产能正确接收下发的各种平台运行规则，并能自动执行系统支撑功能

10.

7.1身份鉴别a）测试方法1）进行登录尝试；启用口令复杂度检查功能，尝试新建管理员并分别为其设置简单（比如仅数字或仅小写字母）及复杂（比如使用数字、字母、特殊字符组合）的口令；2）尝试执行与产品功能相关的操作；3）设置用户鉴别尝试阈值，使用某账号及错误的口令尝试登录不少于所设定的阈值次数，再以正确的口令尝试登录，查看系统日志；设定管理会话超时时间值，在设定值期间内不做任何管理操作，超过设定值后尝试进行管理b）预期结果1）登录时需要输入正确的用户名、口令、验证码；2）需要成功的通过鉴别才能执行相关操作；3）当设置的口令过于简单时，提示口令不满足要求，无法新增用户；但设置口令复杂度满足要求时，新增用户成功；测试账号以正确的用户名和口令也不能再登录系统，系统日志中记录了登录失败事件和账号锁定事件；超时后，系统拒绝各项管理操作直至重新成功通过鉴别

10.

7.2权限控制a）测试方法1）自定义角色与角色权限；2）以不同的用户角色登录，进行各种操作尝试；3）使用新增的用户登录，进行各种操作尝试b）预期结果1）支持角色与角色权限自定义，可在角色权限范围内对用户权限进行自定义；2）系统用户角色至少分为系统管理员、安全操作员、安全管理员、安全审计员四种系统管理员负责安全管理平台的系统维护操作；安全操作员负责安全管理平台运行策略维护和安全事件处置；安全管理员负责操作审核和管理对象维护；安全审计员负责审查系统操作记录，并进行备份、整理；不同角色的管理员登录后均有特定的操作界面，界面上隐藏了不在权限范围内的功能；3）新增的用户登录后除了修改自己的口令，不能进行其它任何操作

10.

7.3系统审计管理a）测试方法1）以具有不同权限的管理员身份登录系统，进行相关的操作及配置；2）据管理员用户名、事件发生的日期和时间、功能模块、操作内容等条件组合查询，排序和导出，查看查询结果、排序结果和导出结果；3）尝试以安全审计员和其他身份用户对日志进行管理；4）进入日志文件存放目录或数据库,查看自身安全审计记录与被管理的目标信息系统的信息数据b）预期结果1）系统日志中记录了各项重要操作管理员身份鉴别事件（包括成功与失败），管理员及设备的增加、修改、删除，安全策略的配置及下发等；2）日志内容包括了管理员用户名、事件发生的日期和时间、功能模块、操作内容；查询结果过滤了条件以外的日志，排序结果能够根据条件进行展示，导出结果过滤了条件以外的日志，条件内的数据无丢失；3）仅安全审计员才能够查看和管理系统日志；4）系统自身安全审计记录保存在独立的文件或者独立的数据表中，与被管理的H标信息系统的信息数据分开存放系统保护机制

10.

7.4系统保护机制a）测试方法1）查看开发者提供文档说明，明确该产品纠错报警和容错保护的范围，在范围内模拟各种错误，如录入数据、配置参数和设置策略时输入数据格式不正确、必填项缺失；2）通过修改数据库或配置文件的方式对录入的数据、相关参数和策略的设置进行篡改；3）尝试篡改安全代理程序、安全代理配置参数或删除安全代理程序、配置文件；4）尝试采用终止进程、服务等方式强制停止安全代理运行；5）尝试在安装代理的主机上卸载安全代理程序；b）预期结果1）管理界面上具备录入数据格式范例或帮助提示；能发现并指出各种不规范的信息；2）发现设置被篡改，并能对其进行恢复，恢复后与其修改之前的状态一致；3）非授权人员无法篡改和删除安全代理程序和相关配置文件；4）无法通过非授权方式停止安全代理，或停止后代理可自动重启；5）不能直接通过控制面板-添加/删除程序卸载或文件删除的方式卸载安全代理，卸载前需要输入卸载口令或经过授权

10.

7.5系统维护a）测试方法1）模拟各组件之间的通信行为，使用截包工具截取产品通信数据；2）检查组件之间数据传输的完整性保护机制；3）支持对各组件的集中管理；4）对安全管理平台自身各功能模块的工作状态进行监测，并核对5）对数据进行备份与恢复操作；6）进入数据存储的目录或数据库中对应的数据表，检查存储关键数据的文件；7）设置磁盘空间报警阈值及到达阈值后的相关动作，模拟产生数据，使得磁盘空间达到阈值;8）尝试卸载产品b）预期结果1）所截取的通信数据内容为人不可理解；2）对于传输失败的数据具备缓存/恢复机制；3）能对各组件的通信连接状态、安全信息采集状态等进行集中管理；4）能正确显示各组件的工作状态，并在发生异常时，能收到报警信息；5）支持数据的备份与恢复；6）安全管理平台身份鉴别信息以非明文方式存储，内容为人不可理解；7）如当磁盘空间达到阈值时，授权管理员能够接收到相应的报警信息；8）卸载产品时，能自动对产品中保存的数据进行清除，或提醒用户删除接口要求a）测试方法1）审查开发商是否在文档中对该产品所提供的接口函数进行详细说明；2）以授权人员身份尝试导出产品的安全信息和自身审计信息，查看导出的信息；以非授权人员身份尝试导出产品的安全信息和自身审计信息，查看导出的信息；3）采用SNMP第三版方式进行安全配置采集，并核对；4）采用SNMP、SYSL0G等方式采集审计信息，并核对；5）配置两个安全管理平台产品为级联部署模式b）预期结果1）所提供说明文档应详细说明安管平台和其所支持的产品之间的通信函数；2）授权人员可导出产品的安全信息和自身审计信息，并且导出的信息正确，没有数据丢失;非授权人员无法导出数据；3）采集的安全配置信息正确；4）采集审计信息正确；5）下级安全管理平台能输出安全信息、安全事件、响应处置结果至上级安全管理平台；上级安全管理平台能够接收下级安全管理平台输出的相关信息，下发规则定义至下级安全管理平台性能要求

10.

100010.

9.2写入及查询响应性能a）测试方法1）在1000条记录/秒的负载下，计算信息记录写入数据库的延迟时间，同样的模拟条件下测试3次，求平均值；2）开发者应提供产品所支持数据源的数据内容数据规模至少1000万条，每一条的数据内容各不相同；通过安全管理平台产品界面对日志进行模糊查询在同样的模拟环境下测试3次，记录点击查询后到第一条反馈数据显示之间的平均响应时间b）预期结果1）信息记录写入数据库的平均延迟时间小于或等于3秒；2）安全管理平台产品的模糊查询的平均响应时间应小于或等于8秒

10.5三级产品功能和性能测评方法

10.

5.1安全机制管理

10.

1.1安全规则配置的设置a）测试方法1）尝试对信息系统各种安全部件进行各类安全机制管理，并核对；2）配置安全策略，对各类安全机制中安全规则的进行下发，在相关的设备上审查下发的安全规则内容，并检查规则的执行情况；3）检查审计记录，并核对b）预期结果1）产品能够添加、删除、修改和查询各类安全机制，并且安全机制类型包含

1.la）中规定的内容，没有遗漏；2）相关的设备上接收到的安全规则内容准确且完整，正确、完整，包含

1.1b）中规定的内容，并且能够强制执行；3）审计记录中包括安全规则的配置下发及执行情况，并且内容详细、完整、容易理解

10.

1.2安全规则配置的获取a）测试方法1）尝试获取信息系统各种安全部件的安全规则配置数据参数，并核对；2）检查安全配置数据；3）检查审计记录，并核对b）预期结果1）获取的安全规则配置数据参数内容准确且完整，并能在管理界面上统一展示；2）安全规则配置数据内容准确且完整，正确、完整，包含

8.L2b）中规定的内容；3）审计记录中包括授权操作员获取安全规则配置操作的信息，并且内容详细、完整、容易理解

10.

35.

10.

5.2安全信息采集处理功能

10.

2.1基本信息采集处理用户身份信息a）测试方法1）通过安全规则配置收集信息系统用户的身份信息，并核对；2）采集用户身份识别方式和识别结果，并核对b）预期结果1）通过安全规则配置收集的身份信息内容正确、完整；2）采集的用户身份识别方式和识别结果正确、完整用户权限信息a）测试方法1）通过安全规则配置收集用户对资产的访问、查看、修改和控制等权限信息，并核对b）预期结果1）通过安全规则配置收集到的权限信息内容正确、完整

10.

1.3资产信息a）测试方法1）通过安全规则配置收集资产信息，形成资产清单，并核对；2）核对资产信息内容；3）对资产进行标识b）预期结果1）通过安全规则配置收集的资产清单内容正确、完整；2）资产信息包含

1.3b）中规定的内容，没有遗漏；3）资产的标识唯一，不能重复

10.

2.2安全信息采集处理

10.

2.3b）中规定的内容，且内容正确、完整、容易理解；3）范式化失败后，对原始审计信息进行存储；4）处理后的安全信息中不存在无用或重复的信息；5）查询结果的内容为规则中保留的数据，其他的数据已经被删除;支持多种过滤、归并方式

15.3安全信息分析处理

10.

3.2b）中规定的模式；3）能根据安全事件模式将多种事件关联分析，发现用户行为的异常变化及隐藏的安全威胁,并报告安全事件；

8.5知识库管理

178.

5.1知识库体系

178.

5.2知识库维护

178.6平台运行规则管理

188.7系统支撑功能

188.

7.1身份鉴别

188.

7.2权限控制

188.

7.3系统审计管理

188.

7.4系统保护机制

188.

191.8接口要求

191.9性能要求

198.

9.1采集处理性能

199.

9.2写入及查询响应能力199安全保证要求

199.1配置管理保证

199.2交付与运行保证

209.3指导性文档

209.

3.1管理员指南

3.2用户指南

209.4测试保证

209.

4.1功能测试

209.

4.2测试覆盖面分析报告

219.

4.3测试深度分析报告

219.

4.4独立性测试

219.5脆弱性分析保证

219.

5.1指南检查

5.2脆弱性分析

219.6生命周期支持2110测评方法

2210.1总体说明

2210.2测试环境

2211.3一级产品功能和性能测评方法

2210.

3.1安全机制管理

2210.

1.1安全规则的配置

2210.

1.2安全规则配置信息的获取

2210.

1.3安全规则配置的检查

2310.

3.2安全信息采集处理功能

2310.

2.1基本信息采集处理

2310.

1.1身份信息采集

2310.

1.2用户权限信息

2311.

1.3资产信息234）超出定义的正常阈值范围，能够及时报告

1.33资产防护能力分析a）测试方法1）对用户行为和资产运行状态进行分析，能得到分析结果；2）定义资产防护能力的安全事件模式，规定资产防护能力的正常范围阈值；3）指定分析规则对资产脆弱性检测结果进行分析，模拟资产防护能力的异常变化b）预期结果1）分析结果应能指出资产的防护能力达到的级别；2）能够制定不同级别的资产防护能力安全事件模式；超出定义的正常阈值范围，能够及时报告；3）能及时发现资产防护能力的异常变化，并报告安全事件

1.44威胁分析a）测试方法1）对安全信息进行统计分析2）对安全信息、信息系统运行状态、信息系统用户行为、资产防护能力进行关联分析；3）根据开发商提供的文档描述，有针对的模拟一系列攻击行为，如跳板攻击、分布式攻击、伪装攻击等等以跳板攻击为例，部署测试环境，使主机A、主机B和主机C通过交换机进行连接，彼此能够进行通讯，模拟分布式攻击，从主机A远程登录到主机B,从主机B上发起对主机C的攻击，收集3台主机及交换机的日志，对收集的日志进行关联分析b）预期结果1）能根据分析规则判断结果，并报告安全事件；2）产品对相关关联的事件能利用关联分析相关技术进行综合判断和分析，分析结果明确哪些事件有关，并指出事件间的联系；.3）对各种类型的攻击均能以图形化的方式还原完整的攻击路径及步骤，如针对跳板攻击能还原出主机A-主机B-主机C的路径等

1.55安全事件存储维护a）测试方法1）检查产品是否部署数据库，查看数据库中的内容；2）对安全事件进行条件查询b）预期结果1）产品将范式化的数据与分析生成的安全事件均存储在数据库中；2）查询条件包含

3.5b）中规定的内容

1.66安全报表管理a）测试方法1）生成各种统计报表；2）按条件生成报表；3）进行安全状态信息的统计，审查报表内容；4）导出报表；5）定义报表自动生成规则b）预期结果1）报表类型包含

3.6a）中规定的内容；2）支持按条件生成报表，且条件包含

10.

5.4安全事件响应处置功能

10.

5.1安全事件响应a）测试方法1）根据安全事件类别和严重程度定义和配置响应规则，模拟匹配规则的安全事件；2）在不同的响应规则中设置不同的响应方式（包括报警、工作流程和安全机制联动响应等），模拟各种安全事件的发生；3）为不同的安全事件配置邮件、声光、对话框、报警消息、手机短信等报警响应方式，模拟各种安全事件4）定义不同的工作流程响应方式，检查产品是否支持；模拟安全事件，触发工单响应方式,审查工单信息；5）配置工单流程（包括人员、步骤、转移、动作等），模拟安全事件发生，检查通过工单将安全事件信息发送给设定的管理对象责任人；对工单流程与工单内容进行导入、导出；6）配置安全机制联动响应方式为安全机制联动b）预期结果1）根据配置的规则，收到的自动响应信息；2）分别收到了报警、工作流程响应和安全机制联动信息；3）对于不同的安全事件收到不同形式的报警信息，支持两种以上的报警方式；4）工作流程响应方式应支持工单、启动应急响应预案等;工单信息能完整记录工单流转过程,内容正确、容易理解，且包含

4.1d）中规定的内容；5）管理对象的责任人接收到相应工单或应急响应预案等，可导入、导出工单流程与工单内容;6）可将安全规则自动生成下发并强制执行

10.

4.2安全事件处置a）测试方法1）通过人工干预或自动触发方式对安全事件进行处置，包括变更安全规则、切断网络连接、终止进程；2）检查安全事件处理过程；3）设置响应处置规则，模拟对资产的攻击行为b）预期结果1）变更安全规则后，相关设备的安全规则发生了相应变更；切断网络连接后，攻击主机ping不通被攻击的主机，终止进程后，在任务管理器中不能查询到相关进程；2）产品详细记录了安全事件处置过程，内容正确、完整、容易理解；3）攻击源收到告警信息知识库管理

10.

6.1知识库体系a）测试方法1）检查各项知识库及内容2）检查安全规则库内容；3）将安全事件处理过程添加到案例库中，检查案例库；4）检查安全事件模式库；5）模拟安全事件响应处置预案库中的安全事件b）预期结果1）知识库中包含包括安全规则库、安全事件模式库、安全规章制度库、案例库、安全事件响应处置预案库等内容；2）安全规则库中包含不同安全等级的安全策略及各种安全设备和系统的安全规则参数集；3）案例库中增加了安全事件处理过程相关内容；4）安全事件模式库中包含

5.Id）中的内容；5）安全事件与安全事件响应处置预案库自动关联知识库维护a）测试方法1）对知识库内容进行添加、修改、删除，对各项变更进行审核通过操作，查询知识库的内容；对知识库内容进行添加、修改、删除，对各项变更进行审核不通过操作或不对其进行审核，查询知识库的内容；2）尝试将知识库中数据导出，删除、修改知识库中部分内容，再次导入该数据，比对内容是否与导出前一致b）预期结果1）对各项变更进行审核通过后，可在知识库中查询到变更后的内容，对各项变更进行审核不通过操作或不对其进行审核，仅能在知识库中查询未经变更的内容；2）数据导入后，与导出前的数据一致

10.

5.7平台运行规则管理a）测试方法1）对平台的各种运行规则进行管理；2）自定义关联分析规则；3）启用与停用平台运行规则；4）对平台运行规则进行条件查询、批量导入与导出操作；5）进行平台运行规则的维护与配置操作；6）下发安全信息采集规则、安全信息范式化规则、安全信息过滤/归并规则b）预期结果1）能

8.7a）中规定的各类平台运行规则进行添加、修改、删除操作；2）自定义关联分析规则中的条件包含

8.6b）中规定的内容；3）启用后，对应的平台运行规则生效；停用后，对应的平台运行规则失效；4）支持平台运行规则的条件查询、批量导入与导出操作；5）平台运行规则的维护与配置操作经过审核后才生效，否则不起作用；6）相关资产能正确接收下发的各种平台运行规则，并能自动执行

10.

5.8系统支撑功能

10.

7.1身份鉴别a）测试方法1）进行登录尝试；启用口令复杂度检查功能，尝试新建管理员并分别为其设置简单（比如仅数字或仅小写字母）及复杂（比如使用数字、字母、特殊字符组合）的口令；2）尝试执行与产品功能相关的操作；3）设置用户鉴别尝试阈值，使用某账号及错误的口令尝试登录不少于所设定的阈值次数，再以正确的口令尝试登录，查看系统日志；设定管理会话超时时间值，在设定值期间内不做任何管理操作，超过设定值后尝试进行管理4）为用户指定口令以外的身份鉴别机制并启用b）预期结果1）登录时需要输入正确的用户名、口令、验证码；2）需要成功的通过鉴别才能执行相关操作；3）当设置的口令过于简单时，提示口令不满足要求，无法新增用户；但设置口令复杂度满足要求时，新增用户成功；测试账号以正确的用户名和口令也不能再登录系统，系统日志中记录了登录失败事件和账号锁定事件；超时后，系统拒绝各项管理操作直至重新成功通过鉴别；4）再次登录系统，必须输入正确的用户名、口令及基于生物特征的鉴别信息才能成功进入系统

10.

7.2权限控制a）测试方法1）自定义角色与角色权限；2）以不同的用户角色登录，进行各种操作尝试；3）使用新增的用户登录，进行各种操作尝试b）预期结果1）支持角色与角色权限自定义，可在角色权限范围内对用户权限进行自定义；2）系统用户角色至少分为系统管理员、安全操作员、安全管理员、安全审计员四种系统管理员负责安全管理平台的系统维护操作；安全操作员负责安全管理平台运行策略维护和安全事件处置；安全管理员负责操作审核和管理对象维护；安全审计员负责审查系统操作记录，并进行备份、整理；不同角色的管理员登录后均有特定的操作界面，界面上隐藏了不在权限范围内的功能；3）新增的用户登录后除了修改自己的口令，不能进行其它任何操作

10.

7.4系统保护机制a）测试方法1）查看开发者提供文档说明，明确该产品纠错报警和容错保护的范围，在范围内模拟各种错误，如录入数据、配置参数和设置策略时输入数据格式不正确、必填项缺失；2）通过修改数据库或配置文件的方式对录入的数据、相关参数和策略的设置进行篡改；3）尝试篡改安全代理程序、安全代理配置参数或删除安全代理程序、配置文件；4）尝试采用终止进程、服务等方式强制停止安全代理运行；5）尝试在安装代理的主机上卸载安全代理程序；b）预期结果1）管理界面上具备录入数据格式范例或帮助提示；能发现并指出各种不规范的信息；2）发现设置被篡改，并能对其进行恢复，恢复后与其修改之前的状态一致；3）非授权人员无法篡改和删除安全代理程序和相关配置文件；4）无法通过非授权方式停止安全代理，或停止后代理可自动重启；5）不能直接通过控制面板-添加/删除程序卸载或文件删除的方式卸载安全代理，卸载前需要输入卸载口令或经过授权

10.

7.5系统维护a）测试方法1）模拟各组件之间的通信行为，使用截包工具截取产品通信数据；2）检查组件之间数据传输的完整性保护机制；3）支持对各组件的集中管理；4）对安全管理平台自身各功能模块的工作状态进行监测，并核对5）对数据进行备份与恢复操作；6）进入数据存储的目录或数据库中对应的数据表，检查存储关键数据的文件；7）设置磁盘空间报警阈值及到达阈值后的相关动作，模拟产生数据，使得磁盘空间达到阈值;8）尝试卸载产品b）预期结果1）所截取的通信数据内容为人不可理解；2）对于传输失败的数据具备缓存/恢复机制；3）能对各组件的组件参数配置、组件程序更新、组件启停、通信连接状态、安全信息采集状态等进行集中管理；4）能正确显示各组件的工作状态，并在发生异常时，能收到报警信息；5）支持数据的备份与恢复；6）安全管理平台身份鉴别信息、系统安全审计记录等以非明文方式存储，内容为人不可理解;7）如当磁盘空间达到阈值时，授权管理员能够接收到相应的报警信息；8）卸载产品时，能自动对产品中保存的数据进行清除，或提醒用户删除接口要求a）测试方法1）审查开发商是否在文档中对该产品所提供的接口函数进行详细说明；2）以授权人员身份尝试导出产品的安全信息和自身审计信息，查看导出的信息；以非授权人员身份尝试导出产品的安全信息和自身审计信息，查看导出的信息；3）采用SNMP第三版方式进行安全规则配置采集，并核对；4）采用SNMP、SYSL0G等方式采集审计信息，并核对；5）配置两个安全管理平台产品为级联部署模式b）预期结果1）所提供说明文档应详细说明安管平台和其所支持的产品之间的通信函数；2）授权人员可导出产品的安全信息和自身审计信息，并且导出的信息正确，没有数据丢失;非授权人员无法导出数据；3）采集的安全规则配置信息正确；4）采集审计信息正确；5）下级安全管理平台能输出安全信息、安全事件、响应处置结果至上级安全管理平台；上级安全管理平台能够接收下级安全管理平台输出的相关信息，下发规则定义至下级安全管理平台性能要求

10.

9.1采集处理性能a）测试方法1）模拟从不同数据源进行数据采集（可使用数据包重放工具或安全信息模拟发生工具），在一段时间内（3分钟）模拟发送不同格式的数据；同样的模拟条件下测试3次，统计安全管理平台产品采集以及处理的数据量，计算产品的平均采集及处理记录数b）预期结果1）产品在执行数据采集及处理过程中，设备应保持正常工作，不出现失去响应、死机等情况；安全管理平台产品对数据采集及处理的平均速度应大于或等于2000条记录/秒写入及查询响应性能a）测试方法1）在2000条记录/秒的负载下，计算信息记录写入数据库的延迟时间，同样的模拟条件下测试3次，求平均值；2）开发者应提供产品所支持数据源的数据内容数据规模至少1000万条，每一条的数据内容各不相同；通过安全管理平台产品界面对日志进行模糊查询在同样的模拟环境下测试3次，记录点击查询后到第一条反馈数据显示之间的平均响应时间b）预期结果1）信息记录写入数据库的平均延迟时间小于或等于3秒；2）安全管理平台产品的模糊查询的平均响应时间应小于或等于5秒

10.6安全保证要求测评方法配置管理保证a）测评方法1）检查安全管理平台产品的版本号，要求开发商使用配置管理系统以及提供配置管理文档,并为安全管理平台产品的不同版本提供唯一的标识；2）检查安全管理平台的授权标识，要求开发商针对不同用户提供唯一的授权标识；3）审查开发商提供的配置管理文档，要求开发商提供的配置项应有唯一标识；4）审查开发商提供各种配置管理文档要求配置管理文档应包括配置清单、配置管理计划;配置清单用来描述组成产品的配置项在配置管理计划中，应描述配置管理系统是如何使用的实施的配置管理应与配置管理计划相一致b）预期结果安全管理平分的配置管理保证相关文档包含、

1.3和

1.4中规定的内容

10.

6.2交付与运行保证a）测评方法1）检查开发商是否使用一定的交付程序交付产品，如使用文档描述交付过程审查安全管理平台产品的随机文档，是否能够说明安全管理平台产品的交付、安装、配置和使用的过程；2）审查各种交付文档，要求开发商应以文件方式说明安全管理平台产品的安装，配置和启动的过程；3）审查用户手册，是否能够详尽得描述安全管理平台产品的安装，配置和启动运行所必需的基本步骤是否使得用户能够通过此文档了解安装、生成、启动和使用过程；4）进行上述过程，要求不应向非产品使用者提供网络拓扑信息b）预期结果安全管理平台的交付与运行保证相关文档包含

1、

2.3和

2.4中规定的内容指导性文档

10.

3.1管理员指南a）测评方法审查开发商提供的各种管理员指南文档，要求包括如下内容1）针对安全管理平台产品管理员的管理员指南；2）描述管理员可使用的管理功能和接口；3）描述怎样以安全的方式管理安全管理平台产品；4）应对于在安全处理环境中必须进行控制的功能和特权提出相应的警告；5）描述所有受管理员控制的安全参数，并给出合适的参数值；6）应包含安全功能如何相互作用的指导；7）应包含怎样安全规则配置安全管理平台产品的指令；8）应描述在安全管理平台产品的安全安装过程中可能要使用的所有配置选项；9）应充分描述与安全管理相关的详细过程；10）应能指导用户在产品的安装过程中产生一个安全的配置b）预期结果安全管理平台的管理员指南相关文档包含

3.1中规定的内容

10.

3.2用户指南a）测评方法1）审查开发商提供的各种用户指南文档，要求包括如下内容2）应描述非管理员用户可用的功能和接口；3）应包含使用安全管理平台产品提供的安全功能和指导；4）应清晰地阐述安全管理平台产品安全运行中用户所必须负的职责，包含产品在安全使用环境中对用户行为的假设b）预期结果安全管理平台的用户指南相关文档包含

3.2中规定的内容

10.

6.4测试保证

10.

4.1功能测试a）测评方法1）审查开发商提供的各种测试文档，是否对安全管理平台产品功能测试的过程和结果进行了记录；2）检查开发商提供的安全管理平台产品以及审查各种测试文档，要求在提供安全管理平台产品的同时提供该产品的测试文档；3）审查开发商提供的各种测试文档，要求测试文档应由测试计划、测试过程描述和测试结果组成；4）审查开发商提供的各种测试文档，要求能够通过测试文档确定将要测试的产品功能，并能描述将要达到的测试目标；5）审查开发商提供的各种测试文档，要求测试过程描述能够确定将要进行的测试，并能描述测试每一安全功能的实际情况；6）审查开发商提供的各种测试文档，要求测试结果能够给出每一项测试的预期结果；7）审查开发商提供的各种测试文档，尝试各种测试过程，检查测试结果是否能证明每一项安全功能和设计目标相符b）预期结果安全管理平台功能测试相关文档包含

4.1中规定的内容

10.

4.2测试覆盖面分析报告a）测评方法1）审查开发商提供的各种测试文档，要求能够提供对安全管理平台产品测试覆盖范围进行分析描述的报告文档；2）审查开发商提供的各种测试文档，要求能够提供测试覆盖分析结果，证明测试文件中确定的测试项目可以覆盖安全管理平台产品的所有安全功能b）预期结果安全管理平台的测试覆盖面分析报告相关文档包含

4.2中规定的内容

10.

6.4,3测试深度分析报告a）测评方法1）审查开发商提供的各种测试文档，要求提供能够对安全管理平台产品的测试深度进行分析描述的报告文档；2）审查开发商提供的各种测试文档，要求能够提供测试深度分析结果，证明测试文件中确定的测试能够充分表明安全管理平台产品的运行符合安全功能规范，至少是足以表明该安全功能和高层设计是一致的b）预期结果安全管理平台的测试深度分析报告相关文档包含

4.3中规定的内容

10.

4.4独立性测试a）测评方法审查开发商提供的各种测试证据，是否能够证明开发商提供的安全管理平台产品已经经过独立的第三方测试并通过b）预期结果安全管理平台独立性测试相关文档包含

4.4中规定的内容

10.

6.5脆弱性分析保证

10.

5.1指南检查a）测评方法1）检查开发商是否提供了各种指南检查文档；2）审查开发商提供的各种指南检查文档，是否确定了对安全管理平台产品的所有可能的操作方式（包含失败和操作失误后的操作）、它们的后果以及对于保持安全操作的意义；是否列出了所有目标环境的假设以及所有外部安全措施（包含外部程序的、物理的或人员的控制）的要求；文档是否完整、清晰、一致、合理b）预期结果安全管理平台的指南检查相关文档包含

5.1中规定的内容

10.

5.2脆弱性分析c）测评方法1）审查开发商提供的各种脆弱性分析文档，要求文档从用户可能破坏安全策略的明显途径出发对安全管理平台产品的各种功能进行分析，并明确记录针对被确定的脆弱性所应采取的措施；2）审查开发商提供的各种脆弱性分析文档，要求对每一条脆弱性都应提供证据，显示在使用安全管理平台产品的环境中该脆弱性不能被利用，并证明经过标识脆弱性的安全管理平台产品可以抵御明显的穿透性攻击；3）审查开发商提供的各种脆弱性分析文档，要求明确指出产品已知的安全隐患、能够侵犯产品的已知方法以及如何避免这些隐患被利用d）预期结果安全管理平台的脆弱性分析相关文档包含

5.2中规定的内容

10.

6.6生命周期支持a）测评方法1）检查开发商是否提供了各种开发安全文件；2）审查开发商提供的各种开发安全文档是否描述了在安全管理平台产品的开发环境中，为保护安全管理平台产品设计和实现的机密性和完整性，而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施（物理上如开发地点的出入口控制制度，开发环境的温室度要求等；程序上如对产品代码、文档、样机进行受控管理的制度等；人员上如开发人员的安全规章制度，开发人员的安全教育培训制度等），并提供在安全管理平台产品的开发和维护过程中执行安全措施的证据（例如以上所有措施的记录）b）预期结果安全管理平台的生命周期支持相关文档包含

9.6中规定的内容

10.

2.2安全信息采集处理

2310.

2.1资产运行状态信息23用户行为数据采集处理

2410.

2.3安全信息整理

2410.

3.3安全信息分析处理

2410.

3.1资产运行状态分析

2410.

3.3资产防护能力分析

2510.

3.5安全报表管理

2510.

3.4安全事件响应处置功能

2510.

4.1安全事件响应

2510.

4.2安全事件处置

2610.

3.5知识库管理

2610.

3.6平台运行规则管理

2610.

3.7系统支撑功能

2710.

7.3系统审计管理

2710.

7.4系统保护机制

2810.

7.5系统维护

2810.

3.8接口要求

2910.

3.9性能要求

2910.

2910.4二级产品功能和性能测评方法

2910.

4.1安全机制管理

2910.

1.2安全规则配置信息的获取

3010.

4.2安全信息采集处理功能

3010.

2.1基本信息采集处理

3010.

1.1身份信息采集

3010.

1.2用户权限信息

3010.

1.3资产信息

3010.

2.2安全信息采集处理

3110.

2.2用户行为数据采集处理

3110.

2.3安全信息整理

3110.

4.3安全信息分析处理

3110.

3.1资产运行状态分析31附录A（规范性附录）安全机制分类及安全部件举例A.1安全机制分类安全机制功能分类功能说明对信息系统的用户身份进行鉴别，确认合法用户，发现非法用户，如用户身份鉴别通过用户名+口令方式、虹膜方式、指纹方式等机制确定用户身份对信息系统的硬件设备进行鉴别，确认合法设备，发现非法接入设硬件设备鉴别备，如通过获取硬件序列号、驱动程序版本等方式确定设备是否合法对信息系统的软件程序进行鉴别，确认合法软件程序，发现非法软鉴别机制软件程序鉴别件程序，如通过获取软件序列号、版本号、文件大小、数据校验等方式确定软件程序是否合法对信息系统的数据进行鉴别，确认合规数据，发现违规数据，如通数据鉴别过加密算法、校验算法、对比等方式确定数据没有被篡改或符合规定格式要求对信息系统的环境进行鉴别，确认环境合规，发现违规环境变化，如环境鉴别通过获取设备位置、温湿度变化、电磁场变化、其他环境监测数据变化等方式确定环境是否符合相应要求对用户的登录、退出、访问、读、写等行为进行检测，应能够发现用户行为检测用户非法操作行为对软件的启动、终止、访问、读、写、传输数据等行为进行检测，应软件程序行为检测能够发现病毒、木马等恶意代码行为以及系统或应用程序的异常行为对用户帐号是否有效、用户是否在线、用户权限是否改变等状态进用户状态检测行检测，应能够发现用户异常状态对硬件设备CPU、内存、硬盘、网络流量等状态进行检测，应能发现硬件设备状态检测检测机制硬件设备的异常变化对软件文件大小、运行时的进程名称和数量，对内存的占用等状态软件程序状态检测进行检测，应能发现软件程序的异常变化对数据存储状态（包括存储位置、占用空间、数据改变等）、数据数据状态检测传输状态（包括数据传输成功率、流量等）进行检测，应能发现非法数据操作行为对物理环境（如温湿度、物理位置等）、逻辑环境（如IP/MAC地址，环境状态检测文件目录，数据库中的位置等）进行检测，应能发现环境的异常变化控制机制基于角色的控制（即自根据用户角色允许或阻止用户对信息系统硬件、软件和数据的访主访问控制）问，应只允许用户的合规操作，阻止用户的违规操作基于角色权限的控制根据用户角色的权限允许或阻止用户对信息系统硬件、软件和数据（即强制访问控制）的访问，应只允许用户的合规操作，阻止用户的违规操作根据用户或软件程序的行为是否符合安全策略，确定允许或阻止用基于行为的控制户或软件程序对信息系统硬件、软件和数据的操作，应只允许合规操作，阻止违规操作根据用户、硬件设备、软件程序、数据以及环境的状态检测结果，确基于状态的控制定是否需要对其采取相应措施，如报警、启动应急措施，以便使状态恢复正常文件加密对重要文件进行加密保护，防范非法用户窃取数据加密对重要数据进行加密保护，防范非法用户窃取通信加密对通信数据进行加密保护，防范被非法窃听对重要安全域在空间上切断一切与其它安全域的电磁通路，实现空保护机制物理隔离间上的完全隔离对重要安全域在空间上进行有条件连接，执行安全策略，只允许合逻辑隔离法访问操作，阻断非法访问操作剩余信息消除能够消除存储介质上的信息，保证不能还原、读取原先的信息对重要数据进行复制存储，存放在不同位置，防止数据意外损坏或数据备份丢失设备备份对重要设备采取冗余配置，超出实际需求，防止设备意外损坏线路备份对关键线路采取冗余配置，超出实际需求，防止线路意外中断保障机制对用户、软件程序的行为进行记录，并可作为分析异常行为的依据行为审计对用户、硬件、软件程序、数据或环境的状态进行记录，并可作为状态审计分析异常状态的依据报警对发现的异常状态、行为等能向管理人员发出警报阻断根据安全策略对发现的异常行为能阻止执行，对异常通信能阻断响应机制终止进程根据安全策略终止异常执行的软件程序自动改变安全规则配置可根据安全策略自动设置安全部件的安全规则配置A.2安全机制中的安全部件举例安全部件举例安全机制功能分类用户身份鉴别操作系统用户管理（功能模块）；身份认证系统（功能模块）操作系统设备管理（功能模块）；资产管理系统（功能模块）；网络管理系硬件设备鉴别统鉴别机制操作系统软件管理（功能模块）；终端管理系统（功能模块）；主机入侵检软件程序鉴别测系统（功能模块）；软件进程检测工具数据鉴别操作系统数据管理（功能模块）；数据库日志；环境鉴别温湿度测量软件（功能模块）；定位系统；门禁系统；用户行为检测操作系统日志（功能模块）；主机管理系统；主机入侵检测系统检测机制操作系统设备管理日志（功能模块）；设备系统日志（功能模块）；网络管设备行为检测理系统软件程序行为检操作系统软件管理日志（功能模块）；防病毒系统；防木马系统；测用户状态检测操作系统用户日志管理（功能模块）；数据状态检测操作系统日志管理（功能模块）；网页防篡改系统、数据库审计系统硬件设备状态检操作系统设备管理日志（功能模块）；测软件程序状态检操作系统软件日志管理（功能模块）；防病毒系统测数据传输状态检网络管理系统；网络入侵检测系统；上网行为检测系统测环境状态检测温湿度测量软件（功能模块）；定位系统；门禁系统；基于角色的控制（即自主访问控操作系统用户日志管理（功能模块）；制）基于角色权限的控制（即强制访操作系统用户日志管理（功能模块）；控制机制问控制）基于行为的控制防火墙；防毒墙；网络入侵检测系统（IDS）；网络入侵防御系统（IPS）；主机入侵检测系统基于状态的控制防火墙；文件加密文件加密系统；加密存储系统数据加密操作系统数据保护功能模块；数据加密系统；加密存储系统通信加密虚拟专用网（VPN）；通信加密机保护机制物理隔离网闸防火墙；WEB应用防火墙；交换机；路由器逻辑隔离剩余信息消除信息消除工具数据备份存储设备、数据库备份（功能模块）设备备份双机热备（功能模块）线路备份负载均衡器（功能模块）保障机制操作系统日志（功能模块）；桌面/终端审计系统；网络审计系统；上网行行为审计为管理系统；数据库审计系统状态审计资产管理系统；网络审计系统；数据库审计系统；报警入侵检测系统；入侵防御系统；防火墙；防病毒系统阻断入侵防御系统；防火墙；防毒墙；响应机制终止进程桌面管理系统；主机入侵检测系统自动改变安全规安全管理平台；则配置A.3各级安全管理平台应管理的安全机制安全机制功能分类一级二级三级鉴别机制用户身份鉴别★★★硬件设备鉴别★★★软件程序鉴别★★数据鉴别★★环境鉴别★用户行为检测★★★设备行为检测★★★程序行为检测★★★用户状态检测★★★检测机制数据状态检测★★★硬件设备状态检测★★★程序状态检测★★★数据传输状态检测★★★环境状态检测★基于角色的控制（即自主访问控制）★★★基于角色权限的控制（即强制访问控制）★★控制机制基于行为的控制★★★基于状态的控制★★★文件加密★★★数据加密★★★通信加密★★★保护机制物理隔离★★逻辑隔离★★★剩余信息消除★★数据备份★★设备备份★★保障机制线路备份★★行为审计★★★状态审计★★★报警★★★阻断通信★★响应机制终止进程★★自动改变安全规则配置★附录B（规范性附录）安全策略参考表根据GB/T25070-2010《信息安全技术信息系统等级保护安全设计技术要求》和GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》的内容，归纳出不同级产品应能够管理并执行的安全策略B.1计算环境的部分安全策略安全策略一级二级三级安全设计要求产品产品产品对进入计算环境的用户进行身份标识和鉴别，只允许合法用户★★★进入鉴别方式应足够复杂，并定期更换，否则报告安全事件★★★★★★记录并限制用户登录失败次数，达到指定次数即报告安全事件用户身份鉴鉴别信息存储及传输应有保护措施，否则报告安全事件★★★别注册用户时需进行用户名与用户标识符唯一性鉴别，不允许创★★★建同名或相同用户标识符的用户鉴别方式须采用受安全管理平台控制的口令、基于生物特征的★★数据、数字证书等，否则报告安全事件采用两种或两种以上的组合机制，否则报告安全事件★★采用不可替代的鉴别技术产生的鉴别数据，报告安全事件★★用户对其创建的文件、数据具有相应的访问操作权限，并能将★★★这些权限部分或全部授予其他用户记录用户对硬件资源、软件资源、数据资源的访问，自主访问★★★操作包括对文件或数据库记录的创建、读、写、修改和删除等对信息系统管理用户角色分配权限进行检查，确认最小权限，否★★★则报告安全事件通过设定终端接入方式、网络地址范围等条件限制终端登录，如★★★违反则报告安全事件自主访问控设置登录终端的操作超时锁定，并报告安全事件★★★制限制单个用户对系统资源的最大或最小使用限度★★★如应用系统的通信双方中的一方在一段时间内未作任何响应，★★★另一方能自动结束会话；限制系统的最大并发会话连接数，超出则报告安全事件★★★限制单个帐户的多重并发会话，超出则报告安全事件★★★限制一个时间段内的并发会话连接数，超出则报告安全事件★★★对一个访问帐户或一个请求进程占用的资源分配最大限额和最★★★小限额，超出则报告安全事件设定访问帐户或请求进程的优先级，根据优先级分配系统资★★源违反则报告安全事件根据管理用户的角色分配权限，仅授予管理用户所需的最小权★★限，越权则报告安全事件操作系统和数据库系统特权用户的权限分离，否则报告安全事★★件限制默认帐户的访问权限，重命名系统默认帐户，需在第一次★★★登录时修改帐户的默认口令，否出则报告安全事件删除多余的、过期的帐户，不允许共享帐户存在否则报告安★★★全事件标记和强制访对重要信息资源设置敏感标记★★问控制控制用户对有敏感标记的重要信息资源的操作针对异常操作★★报告安全事件检查依据安全策略和敏感标记控制用户或程序进程对文件、数★★据库表、记录和字段级资源的访问如违反则报告安全事件通过比较安全标记来确定是授予还是拒绝访问★★检查审计范围是否覆盖到服务器和重要客户端上的每个操作系★★★统用户和数据库用户应能够对系统服务水平降低到预先规定的最小值进行检测和报★★★警检查确认访问控制审计记录的保护措施★★★检查审计内容是否包括重要用户行为、系统资源的异常使用和★★★重要系统命令的使用等系统内重要的安全相关事件应能按照安全规则收集审计记录和报表，记录内容包括事件的★★★日期、时间、类型、用户或程序标识、资源标识和结果等系统安全审计应能够根据记录数据进行分析，并生成审计报表★★★应能检查审计进程保护机制的有效性，避免审计中断，防止审★★计记录丢失应能检查审计记录保护机制的配置，避免受到未预期的删除、修★★改或覆盖等应能检查入侵行为检测机制的配置，能按照安全规则收集报警记录，记录内容包括入侵源IP、攻击类型、攻击目的、攻击时★★★间应为安全管理平台提供审计记录输出接口，对不能由系统独立★★★处理的安全事件，提供可调用的接口检验存储、传输和处理的用户数据的完整性，如发现完整性被★★★破坏则报告安全事件应采用密码等机制支持的完整性校验机制，如机制失效则报告★★用户数据完整安全事件性保护在检验到用户数据受到破坏时进行恢复，如无法恢复，则报告★★安全事件应具备本地数据备份与恢复功能，完全数据备份至少每天一★★次否则报告安全事件应具备异地数据备份功能，用通信网络将关键数据定时批量传★★送至备用场地用户数据保米用加密等方式对在计算环境中存储和处理的用户数据进行保★★★密性保护护客体安全重应在资源重新分配前，对其原使用者的信息进行清除★★★用恶意代码防应安装防恶意代码软件或配置具有相应安全功能的操作系统，★★★范并定期进行升级和更新否则报告安全事件程序可信执在系统运行过程中检验程序的完整性，如发现破坏则报告安全★★行保护事件，并采取措施恢复B.2区域边界的部分安全策略安全策略一级产二级产三级产安全设计要求品品品在区域边界部署访问控制设备，启用访问控制功能★★根据用户身份及权限允许对资源的合法访问，阻止非授权访问，★★区域边界访并报告安全事件问控制在会话处于非活跃一定时间或会话结束后终止网络连接★★根据用户及其权限对进出区域边界的数据信息进行控制，对非★★授权访问进行阻止并报告安全事件检查数据包的源地址、目的地址、传输层协议、请求的服务等，★★★只允许指定条件数据包进出区域边界，其余拦截丢弃并报告安全区域边界包事件过滤对区域边界数据包按照预先定义的规则进行字段级格式检查、★★内容过滤，并对非法数据包进行拦截、报警对区域边界的网络设备运行状况、网络流量、用户行为等进行★★★日志记录，并对超出范围的状况及违规行为报告安全事件区域边界安获取数据交换行为日志数据，内容包括数据来源、发生时间、交全审计★★换目标、交换内容、授权标志、交换规则、交换行为是否成功、不成功进行了几次尝试、交换结束时间等等在网络边界处对恶意代码进行检测和清除，对严重威胁报告安★★★全事件；区域边界恶定期进行区域边界恶意代码库的升级和更新否则报告安全事★★★意代码防范件区域边界防恶意代码产品应具有与主机防恶意代码产品不同的★★★恶意代码库，否则报告事件区域边界完在区域边界设置非法外联探测器，如发现非法外联和入侵行为，★★★整性保护立即报告安全事件B.3通信网络的部分安全策略安全策略一级产二级三级产安全设计要求品产品品对网络中的通信设备、安全设备的运行状况、网络流量、用户通信网络安全★★★行为等进行日志记录，并对超出范围的状况及违规行为报告安审计全事件采用数据校验码、VPN、加密机等通信技术进行传输，记录传输★★★通信网络数据结果，对传输失败次数超出指定范围的要报告安全事件传输完整性保检测系统管理数据、鉴别信息和重要业务数据在传输过程中是★★★护否受到破坏，发现破坏应立即恢复，如破坏程度超出指定范围，则立即报告安全事件通信网络数据采用VPN、加密机等通信技术进行传输，如传输失败要报告安全★★★传输保密性保事件护采用VPN、加密机等通信技术传输系统管理数据、鉴别信息和重★★★要业务数据，如传输失败要报告安全事件采用加密的接入控制设备接入通信网络的设备真实可信，如发通信网络可信★★现有非法接入，立即报告安全事件接入保护附录c（资料性附录）安全事件分类及安全部件举例C.1安全事件分类安全事件安全事件子类安全机制安全部件举例计算机病毒事件防病毒系统恶意代码防范防病毒系统蠕虫事件恶意代码防范特洛伊木马事件恶意代码防范防木马系统僵尸网络事件恶意代码防范，区域边界恶意代防病毒系统、防木马系统、防毒码防范墙混合攻击程序事件有害程序事件恶意代码防范，区域边界恶意代防病毒系统、防木马系统、防毒码防范墙等网页内嵌恶意代码事件恶意代码防范网页恶意代码扫描工具其它有害程序事件恶意代码防范，区域边界恶意代防病毒系统、防木马系统、防毒码防范墙等防火墙，网络入侵检测系统等拒绝服务攻击事件区域边界访问控制，区域边界包过滤后门攻击事件自主访问控制，身份认证系统，网络安全审计标记和强制访问控制，系统安全系统审计，漏洞攻击事件区域边界安全审计，区域边界恶网络入侵检测系统，漏洞扫描意代码防范系统，身份认证系统，网络安全审计系统网络扫描窃听事件区域边界安全审计，区域边界访防火墙，网络入侵检测系统，身问控制，区域边界包过滤，通信份认证系统，网络安全审计系攻击事件网络安全审计，通信网络数据传统，VPN,接入控制系统输保密性保护，通信网络可信接入保护网络钓鱼事件区域边界安全审计，通信网络安网络审计系统全审计干扰事件区域边界访问控制，标记和强制防火墙，身份认证系统，网络审访问控制计系统其他攻击事件区域边界访问控制，区域边界包防火墙，防毒墙，网络入侵检测过滤，区域边界安全审计，区域系统，网络入侵防御系统，身边界恶意代码防范，区域边界完份认证系统，网络审计系统整性保护信息破坏事信息篡改事件用户身份鉴别，自主访问控制，身份认证系统，防篡改系统，件标记和强制访问控制，系统安全文件加密存储系统，安全审计审计，用户数据完整性保护系统信息假冒事件用户身份鉴别，自主访问控制，标身份认证系统，防篡改系统，加记和强制访问控制，系统安全审密存储系统，安全审计系统，计，用户数据完整性保护，程序数据安全交换系统可信执行保护信息泄漏事件用户身份鉴别，自主访问控制，标身份认证系统，加密存储系统，记和强制访问控制，系统安全审加密传输系统（通信加密机），计，用户数据完整性保护，用户安全审计系统，数据安全交换数据保密性保护，程序可信执行系统保护信息窃取事件用户身份鉴别，自主访问控制，标身份认证系统，加密存储系统，记和强制访问控制，系统安全审加密传输系统（通信加密机）,计，用户数据完整性保护，用户安全审计系统，数据安全交换数据保密性保护，程序可信执行系统保护信息丢失事件用户身份鉴别，自主访问控制，标身份认证系统，加密存储系统，记和强制访问控制，系统安全审加密传输系统（VPN、通信加计，用户数据完整性保护，用户密机），安全审计系统，数据数据保密性保护，程序可信执行安全交换系统保护其它信息破坏事件用户身份鉴别，自主访问控制，标身份认证系统，加密存储系统，记和强制访问控制，系统安全审加密传输系统（VPN、通信加计，用户数据完整性保护，用户密机），安全审计系统，数据数据保密性保护，恶意代码防范，安全交换系统程序可信执行保护软硬件自身故障系统安全审计安全审计系统，资产管理系统人为破坏事故系统安全审计，区域边界安全审安全审计系统设备设施故障计，通信网络安全审计其它设备设施故障系统安全审计，区域边界安全审安全审计系统，网络安全审计计，通信网络安全审计系统其他事件

10.

3.2用户行为分析

3210.

3.3资产防护能力分析

3210.

3310.

4.4安全事件响应处置功能

3310.

4.2安全事件处置

3410.

4.5知识库管理

3410.

5.1知识库体系

3410.

5.2知识库维护

3410.

4.6平台运行规则管理

3410.

4.7系统支撑功能

3510.

7.1身份鉴别

3510.

7.2权限控制

3510.

7.3系统审计管理

3510.

7.4系统保护机制

3610.

7.5系统维护

3610.

4.8接口要求

3710.

4.9性能要求

3710.

9.1采集处理性能

3710.

9.2写入及查询响应性能

3710.5三级产品功能和性能测评方法

3810.

5.1安全机制管理

3810.

1.1安全规则的配置

3810.

1.2安全规则配置信息的获取

3810.

1.3安全规则配置的检查

3810.

5.2安全信息采集处理功能

3810.

2.1基本信息采集处理

3810.

1.1身份信息采集

3810.

1.2用户权限信息

3810.

3910.

2.2用户行为数据采集处理

3910.

2.3安全信息整理

3910.

5.3安全信息分析处理

4010.

3.1资产运行状态分析

4010.

3.2用户行为分析

4010.

3.3资产防护能力分析

4010.

4110.

2.1自主访问控制在自主访问控制机制中，安全管理平台的安全信息采集功能应能够采集系统中的用户及资产所登记的命名列表，自主访问控制安全策略列表以及访问控制列表对于主机安全自主访问控制，安管平台应能获取账户列表，以检查是否严格限制默认帐户的访问权限；获取管理用户、操作系统用户和数据库用户的权限列表，以检查是否对管理用户角色分配权限、是否实现操作系统和数据库系统特权用户的权限分离对于应用系统应能获取访问控制策略列表、账户权限列表，以检查是否限制默认帐户的访问权限对于区域边界自主访问控制，安管平台应能获取连接超时时限，以检查能否在会话处于非活跃一定时间或会话结束后终止网络连接；获取最大流量以及最大连接数，以检查能否限制网络最大流量数及网络连接数；获取具有拨号访问权限用户数量上限，以检查能否限制具有拨号访问权限的用户数量；获取信息内容过滤规则，以检查是否对进出网络的信息内容进行过滤并实现协议命令级的控制；以确认区域边界自主访问控制机制的合规性安管平台还应能提取审计记录，以查看访问控制的审计策略是否成功执行强制访问控制对于强制访问控制，安全管理平台应对系统中的用户及其所控制的管理对象具备身份管理、标记管理、授权管理和策略管理功能安全管理平台的统一授权管理功能应实现平台中强制资源的统一管理,为每个系统资源和用户分配一个唯一标识和安全级安全审计员应能够通过安全管理平台制定系统审计策略，实施系统的审计管理在强制访问控制机制中，安全管理平台的安全信息采集功能应能够采集系统合法用户身份、工作密钥以及证书使用记录信息，以验证是否实现身份管理功能；采集全局用户和资产的安全标记列表（可以为其安全级列表），以验证是否实现标记管理功能；采集强制访问控制策略和级别调整策略列表，以验证是否实现授权管理功能以及策略管理功能对于主机安全自主访问控制，安管平台应获取账户列表，以检查是否严格限制默认帐户的访问权限;获取管理用户、操作系统用户和数据库用户的权限列表，以检查是否对管理用户角色分配权限、是否实现操作系统和数据库系统特权用户的权限分离对于应用安全应能获取访问控制策略列表、账户权限列表，以检查是否限制默认帐户的访问权限对于区域边界强制访问控制，安管平台应采集访问区域边界的主体的身份、工作密钥以及证书信息,采集区域边界资产安全标记列表、被访问的资产的命名列表以及区域边界强制访问控制策略和级别调整策略列表；获取连接超时时限，以检查能否在会话处于非活跃一定时间或会话结束后终止网络连接；获取最大流量以及最大连接数，以检查能否限制网络最大流量数及网络连接数；获取具有拨号访问权限用户数量上限，以检查能否限制具有拨号访问权限的用户数量；获取信息内容过滤规则，以检查是否对进出网络的信息内容进行过滤并实现协议命令级的控制；以确认区域边界自主访问控制机制的合规性安管平台还应提取审计记录，以查看访问控制的审计策略是否成功执行；安管平台还应提取审计记录，以查看审计策略是否成功执行D.3区域边界审计机制审计机制管理是指对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类；对各类审计记录进行存储、管理和查询等对审计记录应进行分析，并根据分析结果进行及时处理区域边界审计机制可通过收集区域边界审计配置文件、收集区域边界审计日志进行收集、分析、处置，从而实现对区域边界审计机制的集中管理区域边界审计机制管理范围包括但不仅限于访问控制信息审计；包过滤信息审计；网络流量信息审计；非法外联和入侵行为信息审计D.

3.1区域边界审计信息收集区域边界审计管理至少包含审计探头、安全审计代理或具有相应功能的模块安全审计代理应从策略库中下载策略，并存于本地策略库中，当需要相应的策略时，从本地策略库中读取策略安全管理中心收集审计配置文件或审计日志时，安全审计代理调用策略管理模块处理策略，产生策略模板提交给相匹配的审计探头或开启对应接口，审计探头或通过区域边界设备定义的审计接口收集审计配置数据和审计日志记录，审计日志记录应包括但不仅限于进出区域边界用户名、用户安全级、资产名、资产安全级、访问结果，访问时间等访问控制信息；MAC地址、IP地址、端口、协议类型和时间的部分或全部组合的包过滤信息、网络流量数据、非授权设备私自联到内部网络的行为信息、内部用网络用户私自联接到外部网络的行为信息、入侵检测设备日志区域边界审计分析处理安全代理调用审计信息格式转换模块处理审计信息，应能进行范式化，形成统一日志格式，将日志数据分为审计配置数据和审计日志记录两大类，并在每类中设有访问控制审计类、包过滤审计类、网路流量审计类、完整性审计类、入侵行为审计类，存于本地日志数据库安全管理中心应能分析安全审计日志并对审计日志传输进行保密性防护当需要进行审计分析时,安全审计代理调用安全传输模块对日志格式数据加密，审计引擎模块开启传输服务，审计引擎将日志信息递交给安全审计分析模块进行实时的信息安全分析，安全审计分析首先提取审计配置数据与本地审计配置策略比对，判断相应审计机制的合规性；若无审计配置数据，通过日志数据进行深度分析，判断相应审计机制的合规性；若不合规，发送威胁特征类型给安全审计响应模块；同时应形成审计分析报表,审计报表应能体现审计粒度、审计范围、审计信息异常率等区域边界审计处置及展示安全审计响应模块接受威胁特征，并依据策略对审计分析结果进行响应，响应类型包括但不仅限于审计机制的开启、审计范围的补充、用户阻断链接、操作错误行为报警、流量异常行为报警、准确定出非授权设备私自联到内部网络的行为位置并对其进行有效阻断、准确定内部网络用户私自联到外部网络的行为位置并对其进行有效阻断等例如响应模块收到访问控制信息审计机制为开启的威胁特征，则依据相应策略，响应模块发送开启审计机制的指令反映到控制台以提示管理员，同时等候管理员处理结果,当管理员提交处置结果后，响应模块进行验证，并作一个备忘录，更新知识库内容，完成审计机制管理D.4通信网络数据传输保密性保护机制通信网络数据传输保密性保护机制包括安全通信网络中的可采用由密码技术支持的保密性保护机制或具有相应强度的其他安全机制通信网络数据传输保密性保护机制管理包括加密保护机制信息采集、分析、处置及展示D.

4.1通信网络数据传输保密性保护信息收集在通信网络数据传输保密性保护机制中，主要通过使用硬件加密系统、应用协议安全机制、虚拟专用网络等，在通信双方建立连接之前，应用系统利用密码技术进行会话初始化验证，并对通信过程中传输的管理数据、鉴别信息、重要业务数据或会话过程进行加密保护，从而实现通信网络数据传输保密性安全管理平台的安全信息采集功能应能够采集硬件加密安全系统、应用的安全协议、虚拟专用网络等的版本、参数设置、日志记录等，同时，应能够采集相关系统和应用系统的安全设置D.

4.2通信网络数据传输保密性保护信息分析在信息系统中应部署VPN安全设备或应用SSL协议等加密系统以完成通信数据传输的保密性通过系统配置的变化和系统执行的改变检测到保密性措施，经过判读是否为VPN设备或应用SSL协议对数据进行加密，以判断通信网络数据安全传输的合规性，从而实现网络数据传输保密性保护当安全通信网络中发出加密机制非合规性报警后，安全管理平台应能根据报警信息、加密设备、信息系统的配置、日志、脆弱性、资源占用等状态信息确定通信网络数据传输保密性保护机制非合规性,从技术的角度评估非合规性目前和潜在的影响以及受影响的资源D.

4.3通信网络数据传输保密性保护信息响应当安全通信网络中的通信网络数据传输保密性保护机制发出报警后，安全管理平台的响应功能应能根据预设的响应流程通报相关责任人，并按照安全策略规则阻止非加密数据传输安全管理平台应能根据安全信息确定非合规系统功能是否恢复正常，可对非合规系统进行监视，寻找是否还有其他非合规的情况存在，应能作一个备忘录，更新知识库内容D.5用户身份鉴别安全机制用户身份鉴别安全机制是指在计算环境中对于主机安全和应用安全应该对登录用户进行身份标记和鉴别，已确保用户身份标识唯一性，并根据安全策略配置相关参数包括对用户身份鉴别安全机制的采集和识别、用户身份鉴别安全机制的分析和处理D.

5.1用户身份鉴别安全机制的采集在计算环境的用户身份鉴别安全机制中，需要部署身份认证产品对主机以及应用的用户身份进行标记和鉴别，要求安全管理平台能够采集身份认证产品的数据信息，主机操作系统、应用系统以及数据库系统的用户信息、登录信息和操作日志信息等用户身份鉴别安全机制的识别和分析安全管理平台应根据采集的数据对用户身份鉴别安全机制进行识别和分析是否在对每一个用户注册到系统时，采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性;是否在每次用户登录系统时，采用口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护；操作系统和数据库系统管理用户身份标识，口令是否满足复杂度要求并定期进行更换；是否启用登录失败处理功能,包括限制非法登录次数和自动退出等措施；用户身份鉴别安全机制的响应处理安全管理平台应对用户身份鉴别安全机制进行响应处理可以根据安全机制的识别情况进行展示,对于违规和未达到安全机制要求的可以按照预设的流程进行响应，包括报警、发送处理通告等—1—刖百本标准按照GB/T

1.1-2009给出的规则起草本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位北京中科网威信息技术有限公司，公安部计算机信息系统安全产品质量监督检验中心，公安部第一研究所，北京启明星辰信息技术股份有限公司，中国电信股份有限公司北京研究院,浙江远望电子有限公司，合众信息技术股份有限公司本标准主要起草人殷国强、范红、张笑笑、邹春明、沈亮、傅如毅、尹心明、钟毅、唐维、明旭、邵华、李文宇、叶蓬、李瑛琦、李程远、章军、孙涛元、段亚峰、陈龙等本标准规定了安全管理平台产品的技术要求，提出了该类产品应达到的实现标准，并遵照等级保护标准给出了该类产品的不同级别的基本功能、性能和安全保证要求本标准的目的是规范安全管理平台产品的设计和实现，并为安全管理平台产品的测评和应用提供技术支持和指导—1—刖百本标准按照GB/T

10.

5.4安全事件响应处置功能

4110.

4.1安全事件响应

4110.

4210.

5.5知识库管理

4210.

4310.

5.6平台运行规则管理

4310.

5.7系统支撑功能

4310.

7.1身份鉴别

4310.

4410.

7.3系统审计管理

4410.

7.4系统保护机制

4510.

7.5系统维护

4510.

5.8接口要求

4510.

5.9性能要求

4610.

9.1采集处理性能

4610.

9.2写入及查询响应性能

4610.6安全保证要求测评方法

4610.

6.1配置管理保证

4610.

6.2交付与运行保证

4710.

6.3指导性文档

4710.

3.1管理员指南

4710.

3.2用户指南

4710.

6.4测试保证

4710.

4.1功能测试

4810.

4.2测试覆盖面分析报告48测试深度分析报告

4810.

4.4独立性测试

4810.

6.5脆弱性分析保证

4910.

5.1指南检查

4910.6,

5.2脆弱性分析

4910.

6.6生命周期支持49附录A（规范性附录）安全策略参考表50A.1计算环境的部分安全策略50A.2区域边界的部分安全策略52A.3通信网络的部分安全策略52附录B（规范性附录）安全机制分类及安全部件举例54B.1安全机制分类54B.2安全机制中的安全部件举例55B.3各级安全管理平台应管理的安全机制57附录C（资料性附录）安全事件分类及安全部件举例58c.1安全事件分类58附录D（资料性附录）安全管理平台对安全机制的集中管理举例60D.1恶意代码防范机制的集中管理60D.

1.1恶意代码防范机制60D.

1.2恶意代码的预防60D.

1.3恶意代码的探查与分析60D.

1.4恶意代码的处置60D.2访问控制机制61D.

2.1自主访问控制61D.

2.2强制访问控制61D.3区域边界审计机制62D.

3.1区域边界审计信息收集62D.

3.2区域边界审计分析处理62D.

3.3区域边界审计处置及展示62D.4通信网络数据传输保密性保护机制63D.

4.1通信网络数据传输保密性保护信息收集63D.

4.2通信网络数据传输保密性保护信息分析63D.

4.3通信网络数据传输保密性保护信息响应63D.5用户身份鉴别安全机制63D.